脆弱性: XSS / クロスサイトスクリプティング
【要点】 ◎Microsoft Exchange Serverにゼロデイ脆弱性が見つかり、既に悪用が確認された。Microsoftは修正パッチを準備中で、緩和策の適用確認を呼びかけている (Security NEXT)
【要点】 ◎GitLabはセキュリティアップデートを公開し、GraphQL APIやWeb IDE、Storybook開発環境などに関わる脆弱性11件を修正した。利用者には早急な更新が求められる (Security NEXT)
【要点】 ◎抹茶請求書と抹茶SNSに複数の脆弱性が見つかり、SQL実行や任意コード実行、XSSのおそれが判明したため、最新版への更新が呼びかけられている (Security NEXT)
【要点】 ◎Webアプリケーションの脆弱性を悪用したサイバー攻撃手法。攻撃者は、掲示板やECサイトなどのフォームに悪意のあるスクリプトを埋め込み、そのサイトを訪れた他のユーザーのブラウザ上で実行させる
【脆弱性内容】 公開日 登録日 CVE番号 NVD ベンダー CVSS v4 CVSS v3 CWE 脆弱性 KEV 備考 2026/01/05 2025/11/28 CVE-2025-66376 NVD Zimbra - 7.2(MITRE) CWE-79 クロスサイトスクリプティング 2026/03/18 Collaboration 【ニュース】■2026年◇2026年2月 ◆…
【脆弱性内容】 公開日 登録日 CVE番号 NVD ベンダー CVSS v4 CVSS v3 CWE 脆弱性 KEV 備考 2025/03/12 2025/03/10 CVE-2025-27915 NVD Zimbra - 5.4(CISA-ADP) CWE-79 クロスサイトスクリプティング 2025/10/07 Collaboration Suite 【ニュース】■2025年◇20…
【要点】 ◎CISAはZimbraのXSS脆弱性(CVE-2025-66376)が悪用されているとしてKEVに追加し、米政府機関にパッチ適用を指示。セッション乗っ取りや情報窃取の恐れがある (BleepingComputer)
【ニュース】■2026年◇2026年2月 ◆CISA: Recently patched RoundCube flaws now exploited in attacks (BleepingComputer, 2026/02/23 06:44) [CISA:最近修正されたRoundCubeの脆弱性が攻撃で悪用される] https://www.bleepingcomputer.com/news/security/ci…
【要点】 ◎CISAがRoundcubeの2脆弱性悪用を警告、3週間以内の修正を指 (BleepingComputer)
【要点】 ◎GitLabはCE/EE向けにアップデートを公開し、高リスクXSSなど7件の脆弱性を修正した。 (Security NEXT)
【要点】 ◎MITRE系機関が約4万件の脆弱性を分析し、2025年の危険な脆弱性タイプ上位25を公表。XSSが首位で、SQLインジェクションや認可不備など実務的リスクが浮き彫りとなった。 (Security NEXT)
【要点】 ◎Frappe FrameworkとERPNextに格納型XSS脆弱性が判明した。細工したファイルにより管理者権限奪取や情報改ざんのおそれがあり、CVSSは9.6と評価されている。 (Security NEXT)
【要点】 ◎Roundcube WebmailはSVGを悪用したXSSと情報漏洩の恐れがある脆弱性を修正。開発チームはバックアップ後、最新版への速やかな更新を強く推奨している。
【要点】 ◎工場向けSCADAツール「ScadaBR」の XSS 脆弱性が悪用されていると米CISAが警告。CVE-2021-26829が KEV に追加され、関連ツールの利用者にも対策を求めている。 (Security NEXT)
【要点】 ◎Elasticの「Kibana」にXSSなど4件の脆弱性が判明。最新版で修正済みのため、利用者に早急な更新が呼びかけられている。
【要点】 ◎ZimbraにICS処理のXSS脆弱性CVE-2025-27915。軍関係を狙うゼロデイ攻撃で悪用例も確認され、CISAが注意喚起を行った。
【訳】CISAはソフトウェア開発者にXSS脆弱性の排除を要請 【ニュース】 ◆CISA urges software devs to weed out XSS vulnerabilities (BleepingComputer, 2024/09/17 12:39) [CISAはソフトウェア開発者にXSS脆弱性の排除を要請] https://www.bleepingcompute…
【ニュース】 ◆エレコム製無線 LAN ルータに複数の脆弱性 (NetSecurity, 2024/02/26 08:00) 独立行政法人情報処理推進機構(IPA)および一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)は2月20日、エレコム製無線 LAN ルータにおける複数の脆弱…
【訳】ハッカー、SQLインジェクションやXSS攻撃で200万人分のデータを盗む 【ニュース】 ◆Hackers steal data of 2 million in SQL injection, XSS attacks (BleepingComputer, 2024/02/06 02:00) [ハッカー、SQLインジェクションやXSS攻撃で200万人分のデー…
【ニュース】 ◆トレンドのモバイル管理製品に複数の脆弱性 (Security NEXT, 2023/09/26) https://www.security-next.com/149732 【関連まとめ記事】◆全体まとめ ◆攻撃手法 (まとめ) ◆XSS / クロスサイトスクリプティング (まとめ) https://vul.hatenadiary.c…
【ニュース】 ◆2023年第1四半期に最も多く登録された脆弱性対策情報は「XSS」 (NetSecurity, 2023/04/26 08:00) https://scan.netsecurity.ne.jp/article/2023/04/26/49261.html 【関連まとめ記事】◆全体まとめ ◆攻撃手法 (まとめ) ◆XSS / クロスサイトスク…
【概要】 Rank ID Name Score KEV Count (CVEs) Rank Change vs. 2021 1 CWE-787 境界外への書き込み 64.20 62 ⇔ 2 CWE-79 Webページ生成時の入力の不適切な無害化(「クロスサイトスクリプティング」) 45.97 2 ⇔ 3 CWE-89 SQLコマンドで使用される特殊な要…
【概要】 No 脆弱性 備考 1 CWE-787 範囲外の書き込み 2 CWE-79 Webページ生成中の入力データの不適切な処理(クロスサイトスクリプティング) 3 CWE-89 SQLコマンドで使用される特殊要素の不適切な処理(SQLインジェクション) 4 CWE-20 不適切な入力検証 5…
【ニュース】 ◆「Drupal」にXSS脆弱性、早急にアップデート実施を (Security NEXT, 2021/04/23) https://www.security-next.com/125543 【関連まとめ記事】◆全体まとめ ◆Drupal (まとめ) https://vul.hatenadiary.com/entry/Drupal ◆攻撃手法 (まとめ) ◆XSS …
【ニュース】 ◆NEC製Wi-Fiルーター「Aterm」シリーズに複数の脆弱性報告 (ケータイ Watch, 2021/04/09 15:17) https://k-tai.watch.impress.co.jp/docs/news/1317677.html 【関連まとめ記事】◆全体まとめ ◆攻撃手法 (まとめ) ◆XSS / クロスサイトスクリプテ…
【概要】 No 脆弱性 備考 1 CWE-79 Webページ生成中の入力データの不適切な処理(クロスサイトスクリプティング) 2 CWE-787 範囲外の書き込み 3 CWE-20 不適切な入力検証 4 CWE-125 範囲外の読み取り 5 CWE-119 メモリバッファ境界内での不適切な処理制限 6…
【ニュース】 ◆「Drupal 8」に「Drupalgeddon 2.0」とは異なるあらたな脆弱性 - 重要度は「中」 (Security NEXT, 2018/04/19) http://www.security-next.com/092502 【関連まとめ記事】◆全体まとめ ◆攻撃手法 (まとめ) ◆XSS / クロスサイトスクリプティング …
【ニュース】 ◆米国製のスマート風力発電所のWeb管理コンソールにXSS脆弱性、管理権限を奪取可能 (スラド, 2015/12/14) http://security.srad.jp/story/15/12/13/1743245/ 【関連まとめ記事】◆全体まとめ ◆攻撃手法 (まとめ) ◆XSS / クロスサイトスクリプテ…
