Tech Insights

【CVE-2025-24131】Appleが複数OSのセキュリティアップデートを公開、メモリ処理の脆弱性に対処し安全性が向上

【CVE-2025-24131】Appleが複数OSのセキュリティアップデートを公開、メモリ処...

Appleは2025年1月27日、visionOS、iOS、iPadOS、macOS、watchOS、tvOSの各OSにおけるセキュリティアップデートを公開した。メモリ処理に関する重要な脆弱性【CVE-2025-24131】が修正され、特権的な位置にある攻撃者によるDoS攻撃のリスクが解消。各OSの最新バージョンへのアップデートにより、プラットフォーム全体のセキュリティが大幅に向上している。

【CVE-2025-24131】Appleが複数OSのセキュリティアップデートを公開、メモリ処...

Appleは2025年1月27日、visionOS、iOS、iPadOS、macOS、watchOS、tvOSの各OSにおけるセキュリティアップデートを公開した。メモリ処理に関する重要な脆弱性【CVE-2025-24131】が修正され、特権的な位置にある攻撃者によるDoS攻撃のリスクが解消。各OSの最新バージョンへのアップデートにより、プラットフォーム全体のセキュリティが大幅に向上している。

【CVE-2025-24153】macOS Sequoia 15.3でバッファオーバーフローの脆弱性に対処、カーネル権限での任意のコード実行を防止

【CVE-2025-24153】macOS Sequoia 15.3でバッファオーバーフローの...

Appleは2025年1月27日、macOS Sequoia 15.3においてバッファオーバーフローの脆弱性に対処したセキュリティアップデートを公開した。この脆弱性は【CVE-2025-24153】として識別され、root権限を持つアプリケーションがカーネル権限で任意のコードを実行できる可能性があった。メモリ処理の改善による修正が実施され、システムの完全な制御権が奪取される危険性が解消された。

【CVE-2025-24153】macOS Sequoia 15.3でバッファオーバーフローの...

Appleは2025年1月27日、macOS Sequoia 15.3においてバッファオーバーフローの脆弱性に対処したセキュリティアップデートを公開した。この脆弱性は【CVE-2025-24153】として識別され、root権限を持つアプリケーションがカーネル権限で任意のコードを実行できる可能性があった。メモリ処理の改善による修正が実施され、システムの完全な制御権が奪取される危険性が解消された。

【CVE-2025-24087】macOS Sequoia 15.3でセキュリティ強化、ユーザーデータ保護機能が向上

【CVE-2025-24087】macOS Sequoia 15.3でセキュリティ強化、ユーザ...

Appleは2025年1月27日、macOS Sequoia 15.3において重要なセキュリティアップデートを実施した。このアップデートでは、アプリケーションによる保護されたユーザーデータへの不正アクセスを可能にする脆弱性が修正され、アクセス権限チェック機能が強化された。これにより、システム全体のセキュリティが向上し、ユーザーデータの保護が強化されることとなった。

【CVE-2025-24087】macOS Sequoia 15.3でセキュリティ強化、ユーザ...

Appleは2025年1月27日、macOS Sequoia 15.3において重要なセキュリティアップデートを実施した。このアップデートでは、アプリケーションによる保護されたユーザーデータへの不正アクセスを可能にする脆弱性が修正され、アクセス権限チェック機能が強化された。これにより、システム全体のセキュリティが向上し、ユーザーデータの保護が強化されることとなった。

【CVE-2025-24136】AppleがmacOSのシンボリックリンク脆弱性を修正、複数バージョンで重要なセキュリティアップデートを実施

【CVE-2025-24136】AppleがmacOSのシンボリックリンク脆弱性を修正、複数バ...

Appleは2025年1月27日、macOSの複数バージョンに存在するシンボリックリンクの脆弱性【CVE-2025-24136】を修正するセキュリティアップデートをリリースした。この脆弱性は、悪意のあるアプリケーションがディスクの保護領域にシンボリックリンクを作成できる問題で、macOS Ventura 13.7.3、Sequoia 15.3、Sonoma 14.7.3で修正された。

【CVE-2025-24136】AppleがmacOSのシンボリックリンク脆弱性を修正、複数バ...

Appleは2025年1月27日、macOSの複数バージョンに存在するシンボリックリンクの脆弱性【CVE-2025-24136】を修正するセキュリティアップデートをリリースした。この脆弱性は、悪意のあるアプリケーションがディスクの保護領域にシンボリックリンクを作成できる問題で、macOS Ventura 13.7.3、Sequoia 15.3、Sonoma 14.7.3で修正された。

【CVE-2025-24145】AppleがmacOSとiOSのセキュリティアップデートを公開、システムログのプライバシー保護が強化

【CVE-2025-24145】AppleがmacOSとiOSのセキュリティアップデートを公開...

Appleは2025年1月27日、macOS Sequoia 15.3およびiOS/iPadOS 18.3向けのセキュリティアップデートを公開した。このアップデートでは、アプリケーションがシステムログから連絡先の電話番号を閲覧できてしまう問題が修正され、ユーザーのプライバシー保護が強化された。【CVE-2025-24145】として識別されるこの脆弱性は、システムログ内の個人データの取り扱いに関する問題を解決し、アプリケーションによる意図しないデータアクセスを防止する。

【CVE-2025-24145】AppleがmacOSとiOSのセキュリティアップデートを公開...

Appleは2025年1月27日、macOS Sequoia 15.3およびiOS/iPadOS 18.3向けのセキュリティアップデートを公開した。このアップデートでは、アプリケーションがシステムログから連絡先の電話番号を閲覧できてしまう問題が修正され、ユーザーのプライバシー保護が強化された。【CVE-2025-24145】として識別されるこの脆弱性は、システムログ内の個人データの取り扱いに関する問題を解決し、アプリケーションによる意図しないデータアクセスを防止する。

【CVE-2025-24112】AppleがmacOSセキュリティアップデートを公開、ファイル解析時の脆弱性に対処

【CVE-2025-24112】AppleがmacOSセキュリティアップデートを公開、ファイル...

Appleは2025年1月27日、macOS Sequoia 15.3とmacOS Sonoma 14.7.3向けのセキュリティアップデートを公開した。このアップデートでは、ファイル解析時にアプリケーションが予期せず終了する脆弱性【CVE-2025-24112】に対する修正が実施され、セキュリティチェック機能の改善による対策が行われた。両バージョンの対象ユーザーに対して速やかなアップデートの適用が推奨されている。

【CVE-2025-24112】AppleがmacOSセキュリティアップデートを公開、ファイル...

Appleは2025年1月27日、macOS Sequoia 15.3とmacOS Sonoma 14.7.3向けのセキュリティアップデートを公開した。このアップデートでは、ファイル解析時にアプリケーションが予期せず終了する脆弱性【CVE-2025-24112】に対する修正が実施され、セキュリティチェック機能の改善による対策が行われた。両バージョンの対象ユーザーに対して速やかなアップデートの適用が推奨されている。

Appleが主要製品のセキュリティアップデートを一斉配信、予期せぬアプリ終了の問題に対処

Appleが主要製品のセキュリティアップデートを一斉配信、予期せぬアプリ終了の問題に対処

Appleは2025年1月27日、iPadOS 17.7.4、macOS Sonoma 14.7.3、visionOS 2.3、iOS 18.3など主要製品のセキュリティアップデートを公開した。この更新は脆弱性【CVE-2025-24161】に対処するもので、ファイル処理に関連する予期せぬアプリケーションの終了を防止する。各製品の影響を受けるバージョンが特定され、ユーザーには迅速な更新が推奨されている。

Appleが主要製品のセキュリティアップデートを一斉配信、予期せぬアプリ終了の問題に対処

Appleは2025年1月27日、iPadOS 17.7.4、macOS Sonoma 14.7.3、visionOS 2.3、iOS 18.3など主要製品のセキュリティアップデートを公開した。この更新は脆弱性【CVE-2025-24161】に対処するもので、ファイル処理に関連する予期せぬアプリケーションの終了を防止する。各製品の影響を受けるバージョンが特定され、ユーザーには迅速な更新が推奨されている。

【CVE-2025-24094】macOSの複数バージョンでレースコンディションの脆弱性が発見、ユーザーデータ保護のため緊急アップデートを実施

【CVE-2025-24094】macOSの複数バージョンでレースコンディションの脆弱性が発見...

Appleは2025年1月27日、macOSの複数バージョンにおいてレースコンディションによる脆弱性を確認し、修正アップデートを公開した。この脆弱性は【CVE-2025-24094】として識別され、macOS Ventura、Sequoia、Sonomaの各バージョンに影響を与える可能性がある。アプリケーションがユーザーの機密データにアクセスできる危険性があり、追加のバリデーションによる対策が実施された。

【CVE-2025-24094】macOSの複数バージョンでレースコンディションの脆弱性が発見...

Appleは2025年1月27日、macOSの複数バージョンにおいてレースコンディションによる脆弱性を確認し、修正アップデートを公開した。この脆弱性は【CVE-2025-24094】として識別され、macOS Ventura、Sequoia、Sonomaの各バージョンに影響を与える可能性がある。アプリケーションがユーザーの機密データにアクセスできる危険性があり、追加のバリデーションによる対策が実施された。

【CVE-2025-24169】AppleがmacOS SequoiaとSafari 18.3でブラウザ拡張機能の認証バイパス脆弱性に対処、データリダクション機能を改善

【CVE-2025-24169】AppleがmacOS SequoiaとSafari 18.3...

Appleは2025年1月27日、macOS Sequoia 15.3およびSafari 18.3において、ブラウザ拡張機能の認証をバイパス可能な脆弱性【CVE-2025-24169】に対する修正アップデートを公開した。CVSSスコア7.5(High)と評価されるこの脆弱性は、ログファイルへの機密情報の不適切な記録に関する問題であり、改善されたデータリダクション機能によって対処されている。

【CVE-2025-24169】AppleがmacOS SequoiaとSafari 18.3...

Appleは2025年1月27日、macOS Sequoia 15.3およびSafari 18.3において、ブラウザ拡張機能の認証をバイパス可能な脆弱性【CVE-2025-24169】に対する修正アップデートを公開した。CVSSスコア7.5(High)と評価されるこの脆弱性は、ログファイルへの機密情報の不適切な記録に関する問題であり、改善されたデータリダクション機能によって対処されている。

【CVE-2025-24104】AppleがiOSとiPadOSのバックアップ関連の脆弱性を修正、システムファイル保護機能を強化

【CVE-2025-24104】AppleがiOSとiPadOSのバックアップ関連の脆弱性を修...

Appleは2025年1月27日、iOSおよびiPadOSのバックアップファイル処理に関する重要な脆弱性を公開した。シンボリックリンクの処理に問題があり、悪意のあるバックアップファイルの復元によってシステムファイルが改変される可能性が判明。iPadOS 17.7.4、iOS 18.3、iPadOS 18.3で修正され、セキュリティが強化された。

【CVE-2025-24104】AppleがiOSとiPadOSのバックアップ関連の脆弱性を修...

Appleは2025年1月27日、iOSおよびiPadOSのバックアップファイル処理に関する重要な脆弱性を公開した。シンボリックリンクの処理に問題があり、悪意のあるバックアップファイルの復元によってシステムファイルが改変される可能性が判明。iPadOS 17.7.4、iOS 18.3、iPadOS 18.3で修正され、セキュリティが強化された。

【CVE-2025-24086】Appleが複数OSの画像処理脆弱性に対応、サービス拒否攻撃のリスクに緊急対策

【CVE-2025-24086】Appleが複数OSの画像処理脆弱性に対応、サービス拒否攻撃の...

Appleは2025年1月27日、iOS 18.3、iPadOS 18.3、macOS Ventura 13.7.3、Sonoma 14.7.3、Sequoia 15.3、watchOS 11.3、tvOS 18.3、visionOS 2.3向けのセキュリティアップデートを公開した。画像処理機能に関連するDoS攻撃の可能性が指摘されており、メモリ処理の改善による対策が実施されている。早急なアップデートが推奨される。

【CVE-2025-24086】Appleが複数OSの画像処理脆弱性に対応、サービス拒否攻撃の...

Appleは2025年1月27日、iOS 18.3、iPadOS 18.3、macOS Ventura 13.7.3、Sonoma 14.7.3、Sequoia 15.3、watchOS 11.3、tvOS 18.3、visionOS 2.3向けのセキュリティアップデートを公開した。画像処理機能に関連するDoS攻撃の可能性が指摘されており、メモリ処理の改善による対策が実施されている。早急なアップデートが推奨される。

【CVE-2025-24096】macOS Sequoiaに任意のファイルアクセスの脆弱性、15.3で修正完了

【CVE-2025-24096】macOS Sequoiaに任意のファイルアクセスの脆弱性、1...

Appleは2025年1月27日、macOS Sequoiaに存在する任意のファイルアクセスの脆弱性【CVE-2025-24096】を公開した。この脆弱性は悪意のあるアプリケーションによって悪用される可能性があり、重要なファイルやシステムファイルへの不正アクセスのリスクが存在していた。セキュリティアップデートはmacOS Sequoia 15.3に含まれており、状態管理の改善によって対処された。

【CVE-2025-24096】macOS Sequoiaに任意のファイルアクセスの脆弱性、1...

Appleは2025年1月27日、macOS Sequoiaに存在する任意のファイルアクセスの脆弱性【CVE-2025-24096】を公開した。この脆弱性は悪意のあるアプリケーションによって悪用される可能性があり、重要なファイルやシステムファイルへの不正アクセスのリスクが存在していた。セキュリティアップデートはmacOS Sequoia 15.3に含まれており、状態管理の改善によって対処された。

【CVE-2025-24143】AppleがmacOS、Safari、iOS、iPadOSなどのセキュリティアップデートを公開、フィンガープリント対策を強化

【CVE-2025-24143】AppleがmacOS、Safari、iOS、iPadOSなど...

Appleは2025年1月27日、macOS Sequoia 15.3、Safari 18.3、iOS 18.3、iPadOS 18.3、visionOS 2.3のセキュリティアップデートを公開した。CVE-2025-24143として識別される脆弱性に対処し、ファイルシステムへのアクセス制限を改善することで、悪意のあるWebページからのユーザーフィンガープリントを防止する対策を実施。各製品の最新バージョンへのアップデートが推奨される。

【CVE-2025-24143】AppleがmacOS、Safari、iOS、iPadOSなど...

Appleは2025年1月27日、macOS Sequoia 15.3、Safari 18.3、iOS 18.3、iPadOS 18.3、visionOS 2.3のセキュリティアップデートを公開した。CVE-2025-24143として識別される脆弱性に対処し、ファイルシステムへのアクセス制限を改善することで、悪意のあるWebページからのユーザーフィンガープリントを防止する対策を実施。各製品の最新バージョンへのアップデートが推奨される。

【CVE-2025-0321】ElementsKit Pro 3.7.8以前にXSS脆弱性、認証済み攻撃者によるスクリプト実行の危険性

【CVE-2025-0321】ElementsKit Pro 3.7.8以前にXSS脆弱性、認...

WordfenceはWordPress用プラグインElementsKit Proのバージョン3.7.8以前に、DOMベースの格納型クロスサイトスクリプティング脆弱性が存在することを公開した。CVSSスコアは6.4でMedium(中程度)の深刻度に分類され、Contributor以上の権限を持つ攻撃者によって悪用される可能性がある。影響を受けるページにアクセスしたユーザーの環境で任意のスクリプトが実行される危険性がある。

【CVE-2025-0321】ElementsKit Pro 3.7.8以前にXSS脆弱性、認...

WordfenceはWordPress用プラグインElementsKit Proのバージョン3.7.8以前に、DOMベースの格納型クロスサイトスクリプティング脆弱性が存在することを公開した。CVSSスコアは6.4でMedium(中程度)の深刻度に分類され、Contributor以上の権限を持つ攻撃者によって悪用される可能性がある。影響を受けるページにアクセスしたユーザーの環境で任意のスクリプトが実行される危険性がある。

【CVE-2024-13509】WS Form LITEに認証不要のXSS脆弱性、バージョン1.10.13まで影響の可能性

【CVE-2024-13509】WS Form LITEに認証不要のXSS脆弱性、バージョン1...

WordPressプラグインWS Form LITEにおいて、認証不要で悪用可能な格納型クロスサイトスクリプティングの脆弱性が発見された。CVE-2024-13509として識別されるこの脆弱性は、バージョン1.10.13以前の全バージョンに影響を及ぼし、CVSSスコア7.2のHigh評価とされている。urlパラメータの不適切な処理が原因で、攻撃者による任意のスクリプト実行が可能となる深刻な問題だ。

【CVE-2024-13509】WS Form LITEに認証不要のXSS脆弱性、バージョン1...

WordPressプラグインWS Form LITEにおいて、認証不要で悪用可能な格納型クロスサイトスクリプティングの脆弱性が発見された。CVE-2024-13509として識別されるこの脆弱性は、バージョン1.10.13以前の全バージョンに影響を及ぼし、CVSSスコア7.2のHigh評価とされている。urlパラメータの不適切な処理が原因で、攻撃者による任意のスクリプト実行が可能となる深刻な問題だ。

【CVE-2024-13527】WordPressのPhilantroプラグインにXSS脆弱性が発見、認証済みユーザーによる攻撃の可能性

【CVE-2024-13527】WordPressのPhilantroプラグインにXSS脆弱性...

WordPressの寄付管理プラグインPhilantro - Donations and Donor Managementのバージョン5.3以前に、認証済みユーザーによる格納型クロスサイトスクリプティングの脆弱性が発見された。CVSSスコア6.4のミディアムレベルの深刻度であり、Donateショートコードを介して悪意のあるスクリプトを注入される可能性がある。CISAの評価では技術的影響は部分的だが、適切な対策が必要とされている。

【CVE-2024-13527】WordPressのPhilantroプラグインにXSS脆弱性...

WordPressの寄付管理プラグインPhilantro - Donations and Donor Managementのバージョン5.3以前に、認証済みユーザーによる格納型クロスサイトスクリプティングの脆弱性が発見された。CVSSスコア6.4のミディアムレベルの深刻度であり、Donateショートコードを介して悪意のあるスクリプトを注入される可能性がある。CISAの評価では技術的影響は部分的だが、適切な対策が必要とされている。

【CVE-2024-13521】WordPress向けMailUp Auto Subscriptionにクロスサイトリクエストフォージェリの脆弱性、管理者権限での不正操作が可能に

【CVE-2024-13521】WordPress向けMailUp Auto Subscrip...

WordPressプラグインのMailUp Auto Subscriptionにおいて、バージョン1.1.0以前に影響を及ぼすクロスサイトリクエストフォージェリ(CSRF)からストアドクロスサイトスクリプティング(XSS)の脆弱性が発見された。この脆弱性は管理者権限を持つユーザーが罠となるリンクをクリックすることで悪用される可能性があり、サイトの設定変更や悪意のあるスクリプトの注入が可能となる。CVSS v3.1で6.1(MEDIUM)と評価されている。

【CVE-2024-13521】WordPress向けMailUp Auto Subscrip...

WordPressプラグインのMailUp Auto Subscriptionにおいて、バージョン1.1.0以前に影響を及ぼすクロスサイトリクエストフォージェリ(CSRF)からストアドクロスサイトスクリプティング(XSS)の脆弱性が発見された。この脆弱性は管理者権限を持つユーザーが罠となるリンクをクリックすることで悪用される可能性があり、サイトの設定変更や悪意のあるスクリプトの注入が可能となる。CVSS v3.1で6.1(MEDIUM)と評価されている。

【CVE-2024-13720】WP Image Uploaderにファイル削除の脆弱性、特権昇格の危険性が浮上

【CVE-2024-13720】WP Image Uploaderにファイル削除の脆弱性、特権...

WordPressプラグインWP Image Uploaderにおいて、バージョン1.0.1以前に影響する深刻な脆弱性が発見された。この脆弱性により、攻撃者は認証なしでサーバー上の任意のファイルを削除可能となり、特にwp-config.phpなどの重要ファイルが削除された場合、リモートコード実行につながる危険性が指摘されている。CVSSスコアは8.8と高リスクに分類され、早急な対応が求められる。

【CVE-2024-13720】WP Image Uploaderにファイル削除の脆弱性、特権...

WordPressプラグインWP Image Uploaderにおいて、バージョン1.0.1以前に影響する深刻な脆弱性が発見された。この脆弱性により、攻撃者は認証なしでサーバー上の任意のファイルを削除可能となり、特にwp-config.phpなどの重要ファイルが削除された場合、リモートコード実行につながる危険性が指摘されている。CVSSスコアは8.8と高リスクに分類され、早急な対応が求められる。

【CVE-2024-13715】WordPress用プラグインzStore Manager Basic 3.311に認可不備の脆弱性、キャッシュクリア機能に深刻な影響

【CVE-2024-13715】WordPress用プラグインzStore Manager B...

WordFenceは、WordPressプラグインのzStore Manager Basic 3.311以前のバージョンに認可不備の脆弱性が存在することを2025年1月30日に公開した。この脆弱性により、Subscriber以上の権限を持つユーザーがプラグインのキャッシュを不正にクリアできる状態となっている。CVSSスコアは4.3(MEDIUM)と評価されており、早急な対応が求められる。

【CVE-2024-13715】WordPress用プラグインzStore Manager B...

WordFenceは、WordPressプラグインのzStore Manager Basic 3.311以前のバージョンに認可不備の脆弱性が存在することを2025年1月30日に公開した。この脆弱性により、Subscriber以上の権限を持つユーザーがプラグインのキャッシュを不正にクリアできる状態となっている。CVSSスコアは4.3(MEDIUM)と評価されており、早急な対応が求められる。

【CVE-2024-13742】iControlWPプラグインに深刻な脆弱性、認証不要でPHPオブジェクトインジェクションが可能に

【CVE-2024-13742】iControlWPプラグインに深刻な脆弱性、認証不要でPHP...

WordPressプラグイン「iControlWP – Multiple WordPress Site Manager」のバージョン4.4.5以前に重大な脆弱性が発見された。認証不要でPHPオブジェクトインジェクションが可能となる脆弱性で、CVSS評価は9.8のCritical。POPチェーンを含む別のプラグインやテーマがインストールされている環境では、任意のファイル削除や機密データの取得、コード実行の可能性もある。

【CVE-2024-13742】iControlWPプラグインに深刻な脆弱性、認証不要でPHP...

WordPressプラグイン「iControlWP – Multiple WordPress Site Manager」のバージョン4.4.5以前に重大な脆弱性が発見された。認証不要でPHPオブジェクトインジェクションが可能となる脆弱性で、CVSS評価は9.8のCritical。POPチェーンを含む別のプラグインやテーマがインストールされている環境では、任意のファイル削除や機密データの取得、コード実行の可能性もある。

中国AIスタートアップDeepSeekでデータベースの脆弱性を発見、チャット履歴など100万件超が外部から閲覧可能に

中国AIスタートアップDeepSeekでデータベースの脆弱性を発見、チャット履歴など100万件...

米セキュリティ企業Wizは2025年1月30日、中国AIスタートアップDeepSeekのデータベースに認証なしでアクセス可能な脆弱性を発見したと発表した。チャット履歴やAPIキーを含む100万件以上のデータが外部から閲覧可能な状態となっており、データベースの完全な制御権限も取得可能だったという。Wizの通知を受けDeepSeekは既に対応を完了している。

中国AIスタートアップDeepSeekでデータベースの脆弱性を発見、チャット履歴など100万件...

米セキュリティ企業Wizは2025年1月30日、中国AIスタートアップDeepSeekのデータベースに認証なしでアクセス可能な脆弱性を発見したと発表した。チャット履歴やAPIキーを含む100万件以上のデータが外部から閲覧可能な状態となっており、データベースの完全な制御権限も取得可能だったという。Wizの通知を受けDeepSeekは既に対応を完了している。

テクマトリックスがSecure Code Warriorの機能拡張を発表、セキュリティ標準規格とLLM対応で開発者教育を強化

テクマトリックスがSecure Code Warriorの機能拡張を発表、セキュリティ標準規格...

テクマトリックスは2025年1月30日、セキュアコーディング学習プラットフォーム「Secure Code Warrior」の機能拡張を発表した。セキュリティ標準規格と法規への対応、脅威モデリング、セキュリティ要件に関する学習コンテンツの追加、大規模言語モデル(LLM)への対応など、開発者向けセキュリティ教育の強化を図る。国内総販売代理店として日本市場での展開を本格的に推進。

テクマトリックスがSecure Code Warriorの機能拡張を発表、セキュリティ標準規格...

テクマトリックスは2025年1月30日、セキュアコーディング学習プラットフォーム「Secure Code Warrior」の機能拡張を発表した。セキュリティ標準規格と法規への対応、脅威モデリング、セキュリティ要件に関する学習コンテンツの追加、大規模言語モデル(LLM)への対応など、開発者向けセキュリティ教育の強化を図る。国内総販売代理店として日本市場での展開を本格的に推進。

【CVE-2025-23019】IPv6-in-IPv4トンネリングに新たな脆弱性、通信経路の偽装とトラフィック制御のリスクが浮上

【CVE-2025-23019】IPv6-in-IPv4トンネリングに新たな脆弱性、通信経路の...

MITRE Corporationが2025年1月14日に公開したIPv6-in-IPv4トンネリング(RFC 4213)の新たな脆弱性に関する情報。CVE-2025-23019として識別されるこの脆弱性は、攻撃者が露出したネットワークインターフェースを通じて通信を偽装し、トラフィックを制御できる問題。CVSS v3.1で5.4を記録し、中程度の重要性と評価されている。

【CVE-2025-23019】IPv6-in-IPv4トンネリングに新たな脆弱性、通信経路の...

MITRE Corporationが2025年1月14日に公開したIPv6-in-IPv4トンネリング(RFC 4213)の新たな脆弱性に関する情報。CVE-2025-23019として識別されるこの脆弱性は、攻撃者が露出したネットワークインターフェースを通じて通信を偽装し、トラフィックを制御できる問題。CVSS v3.1で5.4を記録し、中程度の重要性と評価されている。

【CVE-2025-24458】JetBrains YouTrackでアカウント乗っ取りの脆弱性が発覚、バージョン2024.3.55417未満に影響

【CVE-2025-24458】JetBrains YouTrackでアカウント乗っ取りの脆弱...

JetBrains社のプロジェクト管理ツールYouTrackにおいて、偽装メールとHelpdesk連携機能を悪用したアカウント乗っ取りの脆弱性が発見された。CVE-2025-24458として識別されるこの脆弱性は、CVSSスコア7.1の高リスク評価を受けており、バージョン2024.3.55417未満のユーザーに影響を及ぼす可能性がある。JetBrains社は修正パッチを含むアップデートを提供しており、影響を受けるユーザーに対して速やかな更新を推奨している。

【CVE-2025-24458】JetBrains YouTrackでアカウント乗っ取りの脆弱...

JetBrains社のプロジェクト管理ツールYouTrackにおいて、偽装メールとHelpdesk連携機能を悪用したアカウント乗っ取りの脆弱性が発見された。CVE-2025-24458として識別されるこの脆弱性は、CVSSスコア7.1の高リスク評価を受けており、バージョン2024.3.55417未満のユーザーに影響を及ぼす可能性がある。JetBrains社は修正パッチを含むアップデートを提供しており、影響を受けるユーザーに対して速やかな更新を推奨している。

【CVE-2025-24457】JetBrains YouTrackに永続的トークン露出の脆弱性、ログファイルでの情報漏洩に注意

【CVE-2025-24457】JetBrains YouTrackに永続的トークン露出の脆弱...

JetBrains社のプロジェクト管理ツールYouTrackにおいて、永続的トークンがログに露出する脆弱性が発見された。CVE-2025-24457として識別されるこの脆弱性は、2024.3.55417より前のバージョンに影響を与える。CVSSスコア5.5で中程度の深刻度に分類され、ローカル環境での攻撃が可能だが、ユーザーの関与が必要となる。

【CVE-2025-24457】JetBrains YouTrackに永続的トークン露出の脆弱...

JetBrains社のプロジェクト管理ツールYouTrackにおいて、永続的トークンがログに露出する脆弱性が発見された。CVE-2025-24457として識別されるこの脆弱性は、2024.3.55417より前のバージョンに影響を与える。CVSSスコア5.5で中程度の深刻度に分類され、ローカル環境での攻撃が可能だが、ユーザーの関与が必要となる。

【CVE-2025-24456】JetBrains Hubに特権昇格の脆弱性、LDAP認証マッピングの問題で権限昇格が可能に

【CVE-2025-24456】JetBrains Hubに特権昇格の脆弱性、LDAP認証マッ...

JetBrains社は2025年1月21日、同社の認証基盤ソフトウェアHubにおいてLDAP認証マッピングを介した特権昇格の脆弱性を公開した。CVSSスコア6.7の中程度の深刻度と評価され、Hub 2024.3.55417より前のバージョンが影響を受ける。攻撃には低特権でのアクセスとユーザー操作が必要だが、成功時は高権限の取得が可能となる。JetBrains社は修正版のリリースと迅速なアップデートを推奨している。

【CVE-2025-24456】JetBrains Hubに特権昇格の脆弱性、LDAP認証マッ...

JetBrains社は2025年1月21日、同社の認証基盤ソフトウェアHubにおいてLDAP認証マッピングを介した特権昇格の脆弱性を公開した。CVSSスコア6.7の中程度の深刻度と評価され、Hub 2024.3.55417より前のバージョンが影響を受ける。攻撃には低特権でのアクセスとユーザー操作が必要だが、成功時は高権限の取得が可能となる。JetBrains社は修正版のリリースと迅速なアップデートを推奨している。

【CVE-2025-24085】AppleがvisionOSやiOSなど主要OSの特権昇格の脆弱性に対処、セキュリティアップデートを緊急公開

【CVE-2025-24085】AppleがvisionOSやiOSなど主要OSの特権昇格の脆...

Appleは2025年1月27日、visionOS、iOS、iPadOS、macOS、watchOS、tvOSに対する重要なセキュリティアップデートを公開した。use after free問題による特権昇格の脆弱性【CVE-2025-24085】に対処するもので、iOS 17.2より前のバージョンでは実際に悪用された可能性があるという。CISAによる評価では深刻度「HIGH」とされ、CVSSスコアは7.3を記録している。

【CVE-2025-24085】AppleがvisionOSやiOSなど主要OSの特権昇格の脆...

Appleは2025年1月27日、visionOS、iOS、iPadOS、macOS、watchOS、tvOSに対する重要なセキュリティアップデートを公開した。use after free問題による特権昇格の脆弱性【CVE-2025-24085】に対処するもので、iOS 17.2より前のバージョンでは実際に悪用された可能性があるという。CISAによる評価では深刻度「HIGH」とされ、CVSSスコアは7.3を記録している。

【CVE-2024-13448】ThemeREX Addonsに重大な脆弱性、未認証での任意ファイルアップロードが可能に

【CVE-2024-13448】ThemeREX Addonsに重大な脆弱性、未認証での任意フ...

WordPressプラグインのThemeREX Addonsにおいて、バージョン2.32.3以前に重大な脆弱性が発見された。この脆弱性は未認証の攻撃者による任意のファイルアップロードを可能にし、リモートでのコード実行につながる可能性がある。CVSSスコア9.8と評価され、早急なアップデートが推奨される。Wordfenceの研究者によって発見されたこの問題は、特別な権限を必要とせずに攻撃可能である。

【CVE-2024-13448】ThemeREX Addonsに重大な脆弱性、未認証での任意フ...

WordPressプラグインのThemeREX Addonsにおいて、バージョン2.32.3以前に重大な脆弱性が発見された。この脆弱性は未認証の攻撃者による任意のファイルアップロードを可能にし、リモートでのコード実行につながる可能性がある。CVSSスコア9.8と評価され、早急なアップデートが推奨される。Wordfenceの研究者によって発見されたこの問題は、特別な権限を必要とせずに攻撃可能である。

【CVE-2024-8603】B&R Industrial Automationの製品に危険な暗号化アルゴリズムの脆弱性、サービスなりすましのリスクが発生

【CVE-2024-8603】B&R Industrial Automationの製品に危険な...

B&R Industrial Automationは、Automation Runtime 6.1未満およびmapp View 6.1未満のバージョンにおいて、SSL/TLSコンポーネントの暗号化アルゴリズムに重大な脆弱性が発見されたことを公開した。この脆弱性により、未認証の攻撃者によるサービスへのなりすましが可能となり、CVSS V4.0で8.2(HIGH)のスコアが付与されている。影響を受ける製品のバージョンは、Automation Runtimeの6.0から6.1未満および4.0、mapp Viewの6.0から6.1未満および5.0となっている。

【CVE-2024-8603】B&R Industrial Automationの製品に危険な...

B&R Industrial Automationは、Automation Runtime 6.1未満およびmapp View 6.1未満のバージョンにおいて、SSL/TLSコンポーネントの暗号化アルゴリズムに重大な脆弱性が発見されたことを公開した。この脆弱性により、未認証の攻撃者によるサービスへのなりすましが可能となり、CVSS V4.0で8.2(HIGH)のスコアが付与されている。影響を受ける製品のバージョンは、Automation Runtimeの6.0から6.1未満および4.0、mapp Viewの6.0から6.1未満および5.0となっている。

GoogleがChrome安定版をアップデート、DevToolsの脆弱性に対処しセキュリティを強化

GoogleがChrome安定版をアップデート、DevToolsの脆弱性に対処しセキュリティを強化

米Googleは2025年1月28日、デスクトップ向けGoogle Chromeの安定チャネルをアップデートした。Windows/Mac環境向けv132.0.6834.159/160とLinux環境向けv132.0.6834.159を展開中で、DevToolsのUse after free脆弱性(CVE-2025-0762)を修正。拡張安定チャネルにもv132.0.6834.160をロールアウトしている。

GoogleがChrome安定版をアップデート、DevToolsの脆弱性に対処しセキュリティを強化

米Googleは2025年1月28日、デスクトップ向けGoogle Chromeの安定チャネルをアップデートした。Windows/Mac環境向けv132.0.6834.159/160とLinux環境向けv132.0.6834.159を展開中で、DevToolsのUse after free脆弱性(CVE-2025-0762)を修正。拡張安定チャネルにもv132.0.6834.160をロールアウトしている。