まりーん
@getpokemon7.bsky.social
サイバーセキュリティを中心とした分野に興味。政治、経済にも関心あります。
英国政府、情報戦を理由にロシアと中国の団体に制裁
英国は火曜日、サイバー攻撃と影響力行使を通じて西側諸国を弱体化させたとして告発されたロシアと中国の複数の組織に対し新たな制裁を課した。
イベット・クーパー外務大臣は、第一次世界大戦後にヨーロッパ大陸の平和を確保しようとして最終的に失敗に終わったロカルノ条約の100周年を機に、欧州は「かつてないほど複雑化するハイブリッドな安全保障上の脅威」に対抗するために「新しく、活気を取り戻し、より機敏な形の多国間主義」を採用するよう求めた。
クーパー外務大臣は、外務省ロカルノ・スイートでの演説で、テレグラムチャンネル「Ryber」とその共同所有者...
英国は火曜日、サイバー攻撃と影響力行使を通じて西側諸国を弱体化させたとして告発されたロシアと中国の複数の組織に対し新たな制裁を課した。
イベット・クーパー外務大臣は、第一次世界大戦後にヨーロッパ大陸の平和を確保しようとして最終的に失敗に終わったロカルノ条約の100周年を機に、欧州は「かつてないほど複雑化するハイブリッドな安全保障上の脅威」に対抗するために「新しく、活気を取り戻し、より機敏な形の多国間主義」を採用するよう求めた。
クーパー外務大臣は、外務省ロカルノ・スイートでの演説で、テレグラムチャンネル「Ryber」とその共同所有者...
British government sanctions Russian and Chinese groups over information warfare
The U.K.'s foreign secretary announced sanctions on seven Russian individuals and influence networks, as well as the Chinese companies i-Soon and Integrity Technology Group.
therecord.media
December 14, 2025 at 1:42 AM
英国政府、情報戦を理由にロシアと中国の団体に制裁
英国は火曜日、サイバー攻撃と影響力行使を通じて西側諸国を弱体化させたとして告発されたロシアと中国の複数の組織に対し新たな制裁を課した。
イベット・クーパー外務大臣は、第一次世界大戦後にヨーロッパ大陸の平和を確保しようとして最終的に失敗に終わったロカルノ条約の100周年を機に、欧州は「かつてないほど複雑化するハイブリッドな安全保障上の脅威」に対抗するために「新しく、活気を取り戻し、より機敏な形の多国間主義」を採用するよう求めた。
クーパー外務大臣は、外務省ロカルノ・スイートでの演説で、テレグラムチャンネル「Ryber」とその共同所有者...
英国は火曜日、サイバー攻撃と影響力行使を通じて西側諸国を弱体化させたとして告発されたロシアと中国の複数の組織に対し新たな制裁を課した。
イベット・クーパー外務大臣は、第一次世界大戦後にヨーロッパ大陸の平和を確保しようとして最終的に失敗に終わったロカルノ条約の100周年を機に、欧州は「かつてないほど複雑化するハイブリッドな安全保障上の脅威」に対抗するために「新しく、活気を取り戻し、より機敏な形の多国間主義」を採用するよう求めた。
クーパー外務大臣は、外務省ロカルノ・スイートでの演説で、テレグラムチャンネル「Ryber」とその共同所有者...
CISAとFBI、世界中の重要インフラに対する親ロシア派ハクティビストによる攻撃を警告
連邦捜査局(FBI)、サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)、国家安全保障局(NSA)、および欧州サイバー犯罪センター(EC3)の国際パートナーは、親ロシア派ハクティビスト集団の活動の激化について詳述した共同サイバーセキュリティ勧告を発表した。
この新しい勧告は、戦術の変化を強調しており、ハクティビストが米国、ヨーロッパ、そして世界中の重要なインフラ部門における運用技術 (OT) と産業用制御システム (ICS) を標的にしていることを示しています。
連邦捜査局(FBI)、サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)、国家安全保障局(NSA)、および欧州サイバー犯罪センター(EC3)の国際パートナーは、親ロシア派ハクティビスト集団の活動の激化について詳述した共同サイバーセキュリティ勧告を発表した。
この新しい勧告は、戦術の変化を強調しており、ハクティビストが米国、ヨーロッパ、そして世界中の重要なインフラ部門における運用技術 (OT) と産業用制御システム (ICS) を標的にしていることを示しています。
CISA and FBI Warn of Pro-Russia Hacktivist Attacks on Critical Infrastructure Worldwide
New advisory highlights a shift in tactics, with hacktivists targeting Operational Technology (OT) and Industrial Control Systems (ICS) within critical infrastructure sectors in the United States, Eur...
gbhackers.com
December 14, 2025 at 1:34 AM
CISAとFBI、世界中の重要インフラに対する親ロシア派ハクティビストによる攻撃を警告
連邦捜査局(FBI)、サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)、国家安全保障局(NSA)、および欧州サイバー犯罪センター(EC3)の国際パートナーは、親ロシア派ハクティビスト集団の活動の激化について詳述した共同サイバーセキュリティ勧告を発表した。
この新しい勧告は、戦術の変化を強調しており、ハクティビストが米国、ヨーロッパ、そして世界中の重要なインフラ部門における運用技術 (OT) と産業用制御システム (ICS) を標的にしていることを示しています。
連邦捜査局(FBI)、サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)、国家安全保障局(NSA)、および欧州サイバー犯罪センター(EC3)の国際パートナーは、親ロシア派ハクティビスト集団の活動の激化について詳述した共同サイバーセキュリティ勧告を発表した。
この新しい勧告は、戦術の変化を強調しており、ハクティビストが米国、ヨーロッパ、そして世界中の重要なインフラ部門における運用技術 (OT) と産業用制御システム (ICS) を標的にしていることを示しています。
ICSパッチ火曜日:シーメンス、ロックウェル、シュナイダーによる脆弱性修正
シーメンスは14件の新たなアドバイザリを公開しました。Comos、Sicam T、Ruggedcom ROX製品に影響を及ぼすサードパーティ製コンポーネントの脆弱性数十件をカバーする3件のアドバイザリには、全体的な深刻度評価が「重大」に設定されました。
Siemens Advanced Licensing (SALT) Toolkit、IAM Client (複数の製品)、Simatic CN 4100、Ruggedcom ROX、Interniche IP-Stack (複数の製品)、および Sinec ...
シーメンスは14件の新たなアドバイザリを公開しました。Comos、Sicam T、Ruggedcom ROX製品に影響を及ぼすサードパーティ製コンポーネントの脆弱性数十件をカバーする3件のアドバイザリには、全体的な深刻度評価が「重大」に設定されました。
Siemens Advanced Licensing (SALT) Toolkit、IAM Client (複数の製品)、Simatic CN 4100、Ruggedcom ROX、Interniche IP-Stack (複数の製品)、および Sinec ...
ICS Patch Tuesday: Vulnerabilities Fixed by Siemens, Rockwell, Schneider
Siemens, Rockwell Automation, Schneider Electric, and Phoenix Contact have published Patch Tuesday advisories.
www.securityweek.com
December 14, 2025 at 12:55 AM
ICSパッチ火曜日:シーメンス、ロックウェル、シュナイダーによる脆弱性修正
シーメンスは14件の新たなアドバイザリを公開しました。Comos、Sicam T、Ruggedcom ROX製品に影響を及ぼすサードパーティ製コンポーネントの脆弱性数十件をカバーする3件のアドバイザリには、全体的な深刻度評価が「重大」に設定されました。
Siemens Advanced Licensing (SALT) Toolkit、IAM Client (複数の製品)、Simatic CN 4100、Ruggedcom ROX、Interniche IP-Stack (複数の製品)、および Sinec ...
シーメンスは14件の新たなアドバイザリを公開しました。Comos、Sicam T、Ruggedcom ROX製品に影響を及ぼすサードパーティ製コンポーネントの脆弱性数十件をカバーする3件のアドバイザリには、全体的な深刻度評価が「重大」に設定されました。
Siemens Advanced Licensing (SALT) Toolkit、IAM Client (複数の製品)、Simatic CN 4100、Ruggedcom ROX、Interniche IP-Stack (複数の製品)、および Sinec ...
ネットワーク侵害を確認、詳細を調査 - テーオーシー
オフィスビルや商業施設の開発、運営を手がけるテーオーシーは、第三者によりサイバー攻撃を受けたことを明らかにした。詳細について調査を行っている。
同社によれば、第三者によって同社ネットワークが侵害されたもので、2025年12月4日に確認した。影響を受けた機器を隔離するなど、対策を講じたとしている。
問題の発覚を受けて同社は関係機関へ事態を報告。外部協力のもと、インシデントによる影響の範囲の調査や対象となるデータの確認を行うとともに、復旧作業を進めている。
オフィスビルや商業施設の開発、運営を手がけるテーオーシーは、第三者によりサイバー攻撃を受けたことを明らかにした。詳細について調査を行っている。
同社によれば、第三者によって同社ネットワークが侵害されたもので、2025年12月4日に確認した。影響を受けた機器を隔離するなど、対策を講じたとしている。
問題の発覚を受けて同社は関係機関へ事態を報告。外部協力のもと、インシデントによる影響の範囲の調査や対象となるデータの確認を行うとともに、復旧作業を進めている。
【セキュリティ ニュース】ネットワーク侵害を確認、詳細を調査 - テーオーシー(1ページ目 / 全1ページ):Security NEXT
オフィスビルや商業施設の開発、運営を手がけるテーオーシーは、第三者によりサイバー攻撃を受けたことを明らかにした。詳細について調査を行っている。
:Security NEXT
www.security-next.com
December 14, 2025 at 12:27 AM
ネットワーク侵害を確認、詳細を調査 - テーオーシー
オフィスビルや商業施設の開発、運営を手がけるテーオーシーは、第三者によりサイバー攻撃を受けたことを明らかにした。詳細について調査を行っている。
同社によれば、第三者によって同社ネットワークが侵害されたもので、2025年12月4日に確認した。影響を受けた機器を隔離するなど、対策を講じたとしている。
問題の発覚を受けて同社は関係機関へ事態を報告。外部協力のもと、インシデントによる影響の範囲の調査や対象となるデータの確認を行うとともに、復旧作業を進めている。
オフィスビルや商業施設の開発、運営を手がけるテーオーシーは、第三者によりサイバー攻撃を受けたことを明らかにした。詳細について調査を行っている。
同社によれば、第三者によって同社ネットワークが侵害されたもので、2025年12月4日に確認した。影響を受けた機器を隔離するなど、対策を講じたとしている。
問題の発覚を受けて同社は関係機関へ事態を報告。外部協力のもと、インシデントによる影響の範囲の調査や対象となるデータの確認を行うとともに、復旧作業を進めている。
悪用確認された「WinRAR」「Windows」の脆弱性に注意喚起 - 米当局
米サイバーセキュリティインフラストラクチャセキュリティ庁(CISA)は、Windowsやアーカイバの脆弱性2件について悪用されているとして注意喚起を行った。
同庁は現地時間2025年12月9日、「悪用が確認された脆弱性カタログ(KEV)」へ2件の脆弱性「CVE-2025-62221」「CVE-2025-6218」を追加。米行政機関へ対策を求めるとともに、広く悪用されるおそれがあるとして注意を呼びかけた。
「CVE-2025-62221」は、「Windows Cloud Files Mini Filter...
米サイバーセキュリティインフラストラクチャセキュリティ庁(CISA)は、Windowsやアーカイバの脆弱性2件について悪用されているとして注意喚起を行った。
同庁は現地時間2025年12月9日、「悪用が確認された脆弱性カタログ(KEV)」へ2件の脆弱性「CVE-2025-62221」「CVE-2025-6218」を追加。米行政機関へ対策を求めるとともに、広く悪用されるおそれがあるとして注意を呼びかけた。
「CVE-2025-62221」は、「Windows Cloud Files Mini Filter...
【セキュリティ ニュース】悪用確認された「WinRAR」「Windows」の脆弱性に注意喚起 - 米当局(1ページ目 / 全1ページ):Security NEXT
米サイバーセキュリティインフラストラクチャセキュリティ庁(CISA)は、Windowsやアーカイバの脆弱性2件について悪用されているとして注意喚起を行った。
:Security NEXT
www.security-next.com
December 14, 2025 at 12:25 AM
悪用確認された「WinRAR」「Windows」の脆弱性に注意喚起 - 米当局
米サイバーセキュリティインフラストラクチャセキュリティ庁(CISA)は、Windowsやアーカイバの脆弱性2件について悪用されているとして注意喚起を行った。
同庁は現地時間2025年12月9日、「悪用が確認された脆弱性カタログ(KEV)」へ2件の脆弱性「CVE-2025-62221」「CVE-2025-6218」を追加。米行政機関へ対策を求めるとともに、広く悪用されるおそれがあるとして注意を呼びかけた。
「CVE-2025-62221」は、「Windows Cloud Files Mini Filter...
米サイバーセキュリティインフラストラクチャセキュリティ庁(CISA)は、Windowsやアーカイバの脆弱性2件について悪用されているとして注意喚起を行った。
同庁は現地時間2025年12月9日、「悪用が確認された脆弱性カタログ(KEV)」へ2件の脆弱性「CVE-2025-62221」「CVE-2025-6218」を追加。米行政機関へ対策を求めるとともに、広く悪用されるおそれがあるとして注意を呼びかけた。
「CVE-2025-62221」は、「Windows Cloud Files Mini Filter...
フォーティネット、イヴァンティ、SAPが認証とコード実行の脆弱性に対する緊急パッチを公開
Fortinet、Ivanti、SAP は、自社製品に存在する重大なセキュリティ上の欠陥に対処するために動き出しました。これらの欠陥が悪用されると、認証バイパスやコード実行につながる可能性があります。
Fortinet 社の脆弱性は、FortiOS、FortiWeb、FortiProxy、および FortiSwitchManager に影響を及ぼし、暗号署名の不適切な検証に関連します。これらの脆弱性は、CVE-2025-59718およびCVE-2025-59719(CVSS スコア:9.8)とし...
Fortinet、Ivanti、SAP は、自社製品に存在する重大なセキュリティ上の欠陥に対処するために動き出しました。これらの欠陥が悪用されると、認証バイパスやコード実行につながる可能性があります。
Fortinet 社の脆弱性は、FortiOS、FortiWeb、FortiProxy、および FortiSwitchManager に影響を及ぼし、暗号署名の不適切な検証に関連します。これらの脆弱性は、CVE-2025-59718およびCVE-2025-59719(CVSS スコア:9.8)とし...
Fortinet, Ivanti, and SAP Issue Urgent Patches for Authentication and Code Execution Flaws
Vendors fix critical flaws across Fortinet, Ivanti, and SAP to prevent authentication bypass and remote code execution.
thehackernews.com
December 14, 2025 at 12:03 AM
フォーティネット、イヴァンティ、SAPが認証とコード実行の脆弱性に対する緊急パッチを公開
Fortinet、Ivanti、SAP は、自社製品に存在する重大なセキュリティ上の欠陥に対処するために動き出しました。これらの欠陥が悪用されると、認証バイパスやコード実行につながる可能性があります。
Fortinet 社の脆弱性は、FortiOS、FortiWeb、FortiProxy、および FortiSwitchManager に影響を及ぼし、暗号署名の不適切な検証に関連します。これらの脆弱性は、CVE-2025-59718およびCVE-2025-59719(CVSS スコア:9.8)とし...
Fortinet、Ivanti、SAP は、自社製品に存在する重大なセキュリティ上の欠陥に対処するために動き出しました。これらの欠陥が悪用されると、認証バイパスやコード実行につながる可能性があります。
Fortinet 社の脆弱性は、FortiOS、FortiWeb、FortiProxy、および FortiSwitchManager に影響を及ぼし、暗号署名の不適切な検証に関連します。これらの脆弱性は、CVE-2025-59718およびCVE-2025-59719(CVSS スコア:9.8)とし...
「Firefox 146」がリリース - 権限昇格やUAFなど脆弱性13件を解消
Mozilla Foundationは、ウェブブラウザの最新版「Firefox 146」を公開した。複数の脆弱性を修正している。
現地時間2025年12月9日、複数の脆弱性を修正した「Firefox 146」をリリースしたもの。Windows版のバックアップ機能においてパスワードやブックマークを自動的に保存する機能を実装。またmacOS版では専用のGPUプロセスを使用できるよう改善した。
またCVEベースであわせて13件の脆弱性に対処。「クリティカル(Critical)」とされる脆弱性は含まれておらず...
Mozilla Foundationは、ウェブブラウザの最新版「Firefox 146」を公開した。複数の脆弱性を修正している。
現地時間2025年12月9日、複数の脆弱性を修正した「Firefox 146」をリリースしたもの。Windows版のバックアップ機能においてパスワードやブックマークを自動的に保存する機能を実装。またmacOS版では専用のGPUプロセスを使用できるよう改善した。
またCVEベースであわせて13件の脆弱性に対処。「クリティカル(Critical)」とされる脆弱性は含まれておらず...
【セキュリティ ニュース】「Firefox 146」がリリース - 権限昇格やUAFなど脆弱性13件を解消(1ページ目 / 全1ページ):Security NEXT
Mozilla Foundationは、ウェブブラウザの最新版「Firefox 146」を公開した。複数の脆弱性を修正している。
:Security NEXT
www.security-next.com
December 13, 2025 at 11:42 PM
「Firefox 146」がリリース - 権限昇格やUAFなど脆弱性13件を解消
Mozilla Foundationは、ウェブブラウザの最新版「Firefox 146」を公開した。複数の脆弱性を修正している。
現地時間2025年12月9日、複数の脆弱性を修正した「Firefox 146」をリリースしたもの。Windows版のバックアップ機能においてパスワードやブックマークを自動的に保存する機能を実装。またmacOS版では専用のGPUプロセスを使用できるよう改善した。
またCVEベースであわせて13件の脆弱性に対処。「クリティカル(Critical)」とされる脆弱性は含まれておらず...
Mozilla Foundationは、ウェブブラウザの最新版「Firefox 146」を公開した。複数の脆弱性を修正している。
現地時間2025年12月9日、複数の脆弱性を修正した「Firefox 146」をリリースしたもの。Windows版のバックアップ機能においてパスワードやブックマークを自動的に保存する機能を実装。またmacOS版では専用のGPUプロセスを使用できるよう改善した。
またCVEベースであわせて13件の脆弱性に対処。「クリティカル(Critical)」とされる脆弱性は含まれておらず...
SAP、複数の製品にわたる3つの重大な脆弱性を修正
SAP は、深刻な 3 つの欠陥を含む、さまざまな製品にわたる 14 件の脆弱性に対処する 12 月のセキュリティ アップデートをリリースしました。
すべての問題の中で最も深刻 (CVSS スコア: 9.9) なのは、SAP Solution Manager ST 720 に影響を及ぼすコード インジェクション問題であるCVE-2025-42880です。
「入力のサニタイズが欠如しているため、SAP Solution Manager では、リモート対応の機能モジュールを呼び出す際に、認証された攻撃者が悪意のあ...
#パッチチューズデー
SAP は、深刻な 3 つの欠陥を含む、さまざまな製品にわたる 14 件の脆弱性に対処する 12 月のセキュリティ アップデートをリリースしました。
すべての問題の中で最も深刻 (CVSS スコア: 9.9) なのは、SAP Solution Manager ST 720 に影響を及ぼすコード インジェクション問題であるCVE-2025-42880です。
「入力のサニタイズが欠如しているため、SAP Solution Manager では、リモート対応の機能モジュールを呼び出す際に、認証された攻撃者が悪意のあ...
#パッチチューズデー
SAP fixes three critical vulnerabilities across multiple products
SAP has released its December security updates addressing 14 vulnerabilities across a range of products, including three critical-severity flaws.
www.bleepingcomputer.com
December 13, 2025 at 11:26 PM
SAP、複数の製品にわたる3つの重大な脆弱性を修正
SAP は、深刻な 3 つの欠陥を含む、さまざまな製品にわたる 14 件の脆弱性に対処する 12 月のセキュリティ アップデートをリリースしました。
すべての問題の中で最も深刻 (CVSS スコア: 9.9) なのは、SAP Solution Manager ST 720 に影響を及ぼすコード インジェクション問題であるCVE-2025-42880です。
「入力のサニタイズが欠如しているため、SAP Solution Manager では、リモート対応の機能モジュールを呼び出す際に、認証された攻撃者が悪意のあ...
#パッチチューズデー
SAP は、深刻な 3 つの欠陥を含む、さまざまな製品にわたる 14 件の脆弱性に対処する 12 月のセキュリティ アップデートをリリースしました。
すべての問題の中で最も深刻 (CVSS スコア: 9.9) なのは、SAP Solution Manager ST 720 に影響を及ぼすコード インジェクション問題であるCVE-2025-42880です。
「入力のサニタイズが欠如しているため、SAP Solution Manager では、リモート対応の機能モジュールを呼び出す際に、認証された攻撃者が悪意のあ...
#パッチチューズデー
Adobe、約140件の脆弱性を修正
ColdFusion では 12 件のセキュリティ上の欠陥が修正されましたが、そのほとんどは任意のコード実行に悪用される可能性があります。
これらの中で最も深刻なのは、CVE-2025-61808、CVE-2025-61809、CVE-2025-61830 (CVSS スコア 9.1) であり、それぞれ、無制限の危険なファイルのアップロード、不適切な入力検証、信頼できないデータの逆シリアル化として説明されています。
#パッチチューズデー
ColdFusion では 12 件のセキュリティ上の欠陥が修正されましたが、そのほとんどは任意のコード実行に悪用される可能性があります。
これらの中で最も深刻なのは、CVE-2025-61808、CVE-2025-61809、CVE-2025-61830 (CVSS スコア 9.1) であり、それぞれ、無制限の危険なファイルのアップロード、不適切な入力検証、信頼できないデータの逆シリアル化として説明されています。
#パッチチューズデー
Adobe Patches Nearly 140 Vulnerabilities
Adobe has released patches for 138 vulnerabilities in ColdFusion, Experience Manager, DNG SDK, Acrobat and Reader, and Creative Cloud Desktop.
www.securityweek.com
December 13, 2025 at 9:24 PM
Adobe、約140件の脆弱性を修正
ColdFusion では 12 件のセキュリティ上の欠陥が修正されましたが、そのほとんどは任意のコード実行に悪用される可能性があります。
これらの中で最も深刻なのは、CVE-2025-61808、CVE-2025-61809、CVE-2025-61830 (CVSS スコア 9.1) であり、それぞれ、無制限の危険なファイルのアップロード、不適切な入力検証、信頼できないデータの逆シリアル化として説明されています。
#パッチチューズデー
ColdFusion では 12 件のセキュリティ上の欠陥が修正されましたが、そのほとんどは任意のコード実行に悪用される可能性があります。
これらの中で最も深刻なのは、CVE-2025-61808、CVE-2025-61809、CVE-2025-61830 (CVSS スコア 9.1) であり、それぞれ、無制限の危険なファイルのアップロード、不適切な入力検証、信頼できないデータの逆シリアル化として説明されています。
#パッチチューズデー
フォーティネット、FortiCloud SSOログイン認証バイパスの重大な欠陥について警告
Fortinet は、攻撃者が FortiCloud SSO 認証をバイパスできる可能性がある、FortiOS、Fo...
脅威の攻撃者は、悪意を持って作成された SAML メッセージを介して脆弱な製品の暗号署名の脆弱性の不適切な検証を悪用することにより、CVE-2025-59718 (FortiOS、FortiProxy、FortiSwitchManager) および CVE-2025-59719 (FortiWeb) として追跡されている 2 つのセキュリティ上の欠陥を悪用する可能性があります。
Fortinet は、攻撃者が FortiCloud SSO 認証をバイパスできる可能性がある、FortiOS、Fo...
脅威の攻撃者は、悪意を持って作成された SAML メッセージを介して脆弱な製品の暗号署名の脆弱性の不適切な検証を悪用することにより、CVE-2025-59718 (FortiOS、FortiProxy、FortiSwitchManager) および CVE-2025-59719 (FortiWeb) として追跡されている 2 つのセキュリティ上の欠陥を悪用する可能性があります。
Fortinet warns of critical FortiCloud SSO login auth bypass flaws
Fortinet has released security updates to address two critical vulnerabilities in FortiOS, FortiWeb, FortiProxy, and FortiSwitchManager that could allow attackers to bypass FortiCloud SSO authenticati...
www.bleepingcomputer.com
December 13, 2025 at 9:09 PM
フォーティネット、FortiCloud SSOログイン認証バイパスの重大な欠陥について警告
Fortinet は、攻撃者が FortiCloud SSO 認証をバイパスできる可能性がある、FortiOS、Fo...
脅威の攻撃者は、悪意を持って作成された SAML メッセージを介して脆弱な製品の暗号署名の脆弱性の不適切な検証を悪用することにより、CVE-2025-59718 (FortiOS、FortiProxy、FortiSwitchManager) および CVE-2025-59719 (FortiWeb) として追跡されている 2 つのセキュリティ上の欠陥を悪用する可能性があります。
Fortinet は、攻撃者が FortiCloud SSO 認証をバイパスできる可能性がある、FortiOS、Fo...
脅威の攻撃者は、悪意を持って作成された SAML メッセージを介して脆弱な製品の暗号署名の脆弱性の不適切な検証を悪用することにより、CVE-2025-59718 (FortiOS、FortiProxy、FortiSwitchManager) および CVE-2025-59719 (FortiWeb) として追跡されている 2 つのセキュリティ上の欠陥を悪用する可能性があります。
Windows 11 KB5072033 および KB5071417 累積更新プログラムがリリースされました
Microsoft は、セキュリティの脆弱性やバグを修正し、新しい機能を追加するために、Windows 11 バージョン 25H2/24H2 および 23H2 の累積的な更新プログラム KB5072033 および KB5071417 をリリースしました。
本日のアップデートには、前月に発見された脆弱性に対する 2025 年 12 月の Patch Tuesday セキュリティ パッチが含まれているため、必須です。
#パッチチューズデー
Microsoft は、セキュリティの脆弱性やバグを修正し、新しい機能を追加するために、Windows 11 バージョン 25H2/24H2 および 23H2 の累積的な更新プログラム KB5072033 および KB5071417 をリリースしました。
本日のアップデートには、前月に発見された脆弱性に対する 2025 年 12 月の Patch Tuesday セキュリティ パッチが含まれているため、必須です。
#パッチチューズデー
Windows 11 KB5072033 & KB5071417 cumulative updates released
Microsoft has released Windows 11 KB5072033 and KB5071417 cumulative updates for versions 25H2/24H2 and 23H2 to fix security vulnerabilities, bugs, and add new features.
www.bleepingcomputer.com
December 13, 2025 at 9:04 PM
Windows 11 KB5072033 および KB5071417 累積更新プログラムがリリースされました
Microsoft は、セキュリティの脆弱性やバグを修正し、新しい機能を追加するために、Windows 11 バージョン 25H2/24H2 および 23H2 の累積的な更新プログラム KB5072033 および KB5071417 をリリースしました。
本日のアップデートには、前月に発見された脆弱性に対する 2025 年 12 月の Patch Tuesday セキュリティ パッチが含まれているため、必須です。
#パッチチューズデー
Microsoft は、セキュリティの脆弱性やバグを修正し、新しい機能を追加するために、Windows 11 バージョン 25H2/24H2 および 23H2 の累積的な更新プログラム KB5072033 および KB5071417 をリリースしました。
本日のアップデートには、前月に発見された脆弱性に対する 2025 年 12 月の Patch Tuesday セキュリティ パッチが含まれているため、必須です。
#パッチチューズデー
CISA Releases Three Industrial Control Systems Advisories
Release Date December 09, 2025
ICSA-25-343-01 Universal Boot Loader (U-Boot)
ICSA-25-343-02 Festo LX Appliance
ICSA-25-343-03 Multiple India-Based CCTV Cameras
Release Date December 09, 2025
ICSA-25-343-01 Universal Boot Loader (U-Boot)
ICSA-25-343-02 Festo LX Appliance
ICSA-25-343-03 Multiple India-Based CCTV Cameras
CISA Releases Three Industrial Control Systems Advisories | CISA
www.cisa.gov
December 13, 2025 at 8:55 PM
CISA Releases Three Industrial Control Systems Advisories
Release Date December 09, 2025
ICSA-25-343-01 Universal Boot Loader (U-Boot)
ICSA-25-343-02 Festo LX Appliance
ICSA-25-343-03 Multiple India-Based CCTV Cameras
Release Date December 09, 2025
ICSA-25-343-01 Universal Boot Loader (U-Boot)
ICSA-25-343-02 Festo LX Appliance
ICSA-25-343-03 Multiple India-Based CCTV Cameras
Ivanti、エンドポイントマネージャーの重大なコード実行欠陥について警告
米国のITソフトウェア企業Ivantiは本日、攻撃者がリモートでコードを実行できる可能性があるエンドポイントマネージャ(EPM)ソリューションの新たに公開された脆弱性を修正するよう顧客に対して警告した。
...
CVE-2025-10573として追跡されているこの重大なセキュリティ上の欠陥は、リモートの認証されていない脅威の攻撃者によって悪用され、ユーザーの操作を必要とする複雑性の低いクロスサイトスクリプティング攻撃を通じて任意の JavaScript コードが実行される可能性があります。
米国のITソフトウェア企業Ivantiは本日、攻撃者がリモートでコードを実行できる可能性があるエンドポイントマネージャ(EPM)ソリューションの新たに公開された脆弱性を修正するよう顧客に対して警告した。
...
CVE-2025-10573として追跡されているこの重大なセキュリティ上の欠陥は、リモートの認証されていない脅威の攻撃者によって悪用され、ユーザーの操作を必要とする複雑性の低いクロスサイトスクリプティング攻撃を通じて任意の JavaScript コードが実行される可能性があります。
Ivanti warns of critical Endpoint Manager code execution flaw
American IT software company Ivanti warned customers today to patch a newly disclosed vulnerability in its Endpoint Manager (EPM) solution that could allow attackers to execute code remotely.
www.bleepingcomputer.com
December 13, 2025 at 8:54 PM
Ivanti、エンドポイントマネージャーの重大なコード実行欠陥について警告
米国のITソフトウェア企業Ivantiは本日、攻撃者がリモートでコードを実行できる可能性があるエンドポイントマネージャ(EPM)ソリューションの新たに公開された脆弱性を修正するよう顧客に対して警告した。
...
CVE-2025-10573として追跡されているこの重大なセキュリティ上の欠陥は、リモートの認証されていない脅威の攻撃者によって悪用され、ユーザーの操作を必要とする複雑性の低いクロスサイトスクリプティング攻撃を通じて任意の JavaScript コードが実行される可能性があります。
米国のITソフトウェア企業Ivantiは本日、攻撃者がリモートでコードを実行できる可能性があるエンドポイントマネージャ(EPM)ソリューションの新たに公開された脆弱性を修正するよう顧客に対して警告した。
...
CVE-2025-10573として追跡されているこの重大なセキュリティ上の欠陥は、リモートの認証されていない脅威の攻撃者によって悪用され、ユーザーの操作を必要とする複雑性の低いクロスサイトスクリプティング攻撃を通じて任意の JavaScript コードが実行される可能性があります。
攻撃者はGlobalProtectポータルとSonicWall APIを標的とした二重の攻撃を開始
12月2日、Palo Alto GlobalProtectポータルを標的とした攻撃キャンペーンが開始されました。攻撃はログイン試行とSonicWall SonicOS APIエンドポイントのスキャンによって行われました。この活動は、独自のBGPネットワーク(AS200373)を運営するドイツのホスティングプロバイダー3xK GmbHに紐づく7,000以上のIPアドレスから発生しました。
「2025年12月2日、GreyNoiseは、Palo Alto Networks GlobalPr...
12月2日、Palo Alto GlobalProtectポータルを標的とした攻撃キャンペーンが開始されました。攻撃はログイン試行とSonicWall SonicOS APIエンドポイントのスキャンによって行われました。この活動は、独自のBGPネットワーク(AS200373)を運営するドイツのホスティングプロバイダー3xK GmbHに紐づく7,000以上のIPアドレスから発生しました。
「2025年12月2日、GreyNoiseは、Palo Alto Networks GlobalPr...
Attackers launch dual campaign on GlobalProtect portals and SonicWall APIs
A hacking campaign is targeting GlobalProtect logins and scannig SonicWall APIs since December 2, 2025......
securityaffairs.com
December 12, 2025 at 10:51 PM
攻撃者はGlobalProtectポータルとSonicWall APIを標的とした二重の攻撃を開始
12月2日、Palo Alto GlobalProtectポータルを標的とした攻撃キャンペーンが開始されました。攻撃はログイン試行とSonicWall SonicOS APIエンドポイントのスキャンによって行われました。この活動は、独自のBGPネットワーク(AS200373)を運営するドイツのホスティングプロバイダー3xK GmbHに紐づく7,000以上のIPアドレスから発生しました。
「2025年12月2日、GreyNoiseは、Palo Alto Networks GlobalPr...
12月2日、Palo Alto GlobalProtectポータルを標的とした攻撃キャンペーンが開始されました。攻撃はログイン試行とSonicWall SonicOS APIエンドポイントのスキャンによって行われました。この活動は、独自のBGPネットワーク(AS200373)を運営するドイツのホスティングプロバイダー3xK GmbHに紐づく7,000以上のIPアドレスから発生しました。
「2025年12月2日、GreyNoiseは、Palo Alto Networks GlobalPr...
Next.js、React2Shellの脆弱性の影響を受けるアプリを検出・修正するスキャナーをリリース
Next.js 開発者は、重大な「 React2Shell 」脆弱性との戦いにおいて新たな武器を手に入れました。
この新しいスキャナーは、開発チームが Next.js および React Server Components (RSC) の脆弱なバージョンを識別し、必要なセキュリティ更新を即座に適用するためのシンプルな 1 行のソリューションを提供します。
Vercel Labs は、現在 CVE-2025-66478 として追跡されている重大なリモート コード実行 (RCE) の...
Next.js 開発者は、重大な「 React2Shell 」脆弱性との戦いにおいて新たな武器を手に入れました。
この新しいスキャナーは、開発チームが Next.js および React Server Components (RSC) の脆弱なバージョンを識別し、必要なセキュリティ更新を即座に適用するためのシンプルな 1 行のソリューションを提供します。
Vercel Labs は、現在 CVE-2025-66478 として追跡されている重大なリモート コード実行 (RCE) の...
Next.js Releases Scanner to Detect and Fix Apps Affected by React2Shell Vulnerability
fix-react2shell-next, designed to automatically detect and patch applications affected by the severe Remote Code Execution (RCE) flaw.
gbhackers.com
December 12, 2025 at 10:24 PM
Next.js、React2Shellの脆弱性の影響を受けるアプリを検出・修正するスキャナーをリリース
Next.js 開発者は、重大な「 React2Shell 」脆弱性との戦いにおいて新たな武器を手に入れました。
この新しいスキャナーは、開発チームが Next.js および React Server Components (RSC) の脆弱なバージョンを識別し、必要なセキュリティ更新を即座に適用するためのシンプルな 1 行のソリューションを提供します。
Vercel Labs は、現在 CVE-2025-66478 として追跡されている重大なリモート コード実行 (RCE) の...
Next.js 開発者は、重大な「 React2Shell 」脆弱性との戦いにおいて新たな武器を手に入れました。
この新しいスキャナーは、開発チームが Next.js および React Server Components (RSC) の脆弱なバージョンを識別し、必要なセキュリティ更新を即座に適用するためのシンプルな 1 行のソリューションを提供します。
Vercel Labs は、現在 CVE-2025-66478 として追跡されている重大なリモート コード実行 (RCE) の...
研究室に侵入者、個人情報をPCから持ち去りか - 北大
北海道大学は、大学院情報科学研究院の研究室において個人情報が含まれたファイルが盗難被害に遭った可能性があることを明らかにした。
同大によれば、第三者が研究室に侵入してパソコンを不正に操作し、個人情報を含むファイルを持ち去った可能性があることが判明したという。対象となるのは5研究室に所属歴がある学生あわせて106人で氏名、卒業年度、学位、就職先会社名などが含まれる。
2025年10月6日夜、同研究院の研究室において、所属などわからない学生風の人物が研究室内のパソコンを操作しているところを同研究室の学生が発見。問い質したところ、学生か…
北海道大学は、大学院情報科学研究院の研究室において個人情報が含まれたファイルが盗難被害に遭った可能性があることを明らかにした。
同大によれば、第三者が研究室に侵入してパソコンを不正に操作し、個人情報を含むファイルを持ち去った可能性があることが判明したという。対象となるのは5研究室に所属歴がある学生あわせて106人で氏名、卒業年度、学位、就職先会社名などが含まれる。
2025年10月6日夜、同研究院の研究室において、所属などわからない学生風の人物が研究室内のパソコンを操作しているところを同研究室の学生が発見。問い質したところ、学生か…
【セキュリティ ニュース】研究室に侵入者、個人情報をPCから持ち去りか - 北大(1ページ目 / 全2ページ):Security NEXT
北海道大学は、大学院情報科学研究院の研究室において個人情報が含まれたファイルが盗難被害に遭った可能性があることを明らかにした。
:Security NEXT
www.security-next.com
December 11, 2025 at 9:20 PM
研究室に侵入者、個人情報をPCから持ち去りか - 北大
北海道大学は、大学院情報科学研究院の研究室において個人情報が含まれたファイルが盗難被害に遭った可能性があることを明らかにした。
同大によれば、第三者が研究室に侵入してパソコンを不正に操作し、個人情報を含むファイルを持ち去った可能性があることが判明したという。対象となるのは5研究室に所属歴がある学生あわせて106人で氏名、卒業年度、学位、就職先会社名などが含まれる。
2025年10月6日夜、同研究院の研究室において、所属などわからない学生風の人物が研究室内のパソコンを操作しているところを同研究室の学生が発見。問い質したところ、学生か…
北海道大学は、大学院情報科学研究院の研究室において個人情報が含まれたファイルが盗難被害に遭った可能性があることを明らかにした。
同大によれば、第三者が研究室に侵入してパソコンを不正に操作し、個人情報を含むファイルを持ち去った可能性があることが判明したという。対象となるのは5研究室に所属歴がある学生あわせて106人で氏名、卒業年度、学位、就職先会社名などが含まれる。
2025年10月6日夜、同研究院の研究室において、所属などわからない学生風の人物が研究室内のパソコンを操作しているところを同研究室の学生が発見。問い質したところ、学生か…
テモナの「たまごリピート」、脆弱性突かれ侵入 - 流出痕跡は確認されず
eコマース向けの支援サービスを展開するテモナの通信販売支援システムがサイバー攻撃を受けた問題で、同社は調査結果を取りまとめた。
ショッピングカート機能などを提供する同社の通信販売支援システム「たまごリピート」の一部サーバがサイバー攻撃を受けたもの。
2025年10月24日に同システムのログを監視していた際に異常なアクセスを検知。第三者によって侵害された痕跡を確認し、サーバをネットワークから隔離して原因や影響など詳細について調べていた。
eコマース向けの支援サービスを展開するテモナの通信販売支援システムがサイバー攻撃を受けた問題で、同社は調査結果を取りまとめた。
ショッピングカート機能などを提供する同社の通信販売支援システム「たまごリピート」の一部サーバがサイバー攻撃を受けたもの。
2025年10月24日に同システムのログを監視していた際に異常なアクセスを検知。第三者によって侵害された痕跡を確認し、サーバをネットワークから隔離して原因や影響など詳細について調べていた。
【セキュリティ ニュース】テモナの「たまごリピート」、脆弱性突かれ侵入 - 流出痕跡は確認されず(1ページ目 / 全1ページ):Security NEXT
eコマース向けの支援サービスを展開するテモナの通信販売支援システムがサイバー攻撃を受けた問題で、同社は調査結果を取りまとめた。
:Security NEXT
www.security-next.com
December 11, 2025 at 9:19 PM
テモナの「たまごリピート」、脆弱性突かれ侵入 - 流出痕跡は確認されず
eコマース向けの支援サービスを展開するテモナの通信販売支援システムがサイバー攻撃を受けた問題で、同社は調査結果を取りまとめた。
ショッピングカート機能などを提供する同社の通信販売支援システム「たまごリピート」の一部サーバがサイバー攻撃を受けたもの。
2025年10月24日に同システムのログを監視していた際に異常なアクセスを検知。第三者によって侵害された痕跡を確認し、サーバをネットワークから隔離して原因や影響など詳細について調べていた。
eコマース向けの支援サービスを展開するテモナの通信販売支援システムがサイバー攻撃を受けた問題で、同社は調査結果を取りまとめた。
ショッピングカート機能などを提供する同社の通信販売支援システム「たまごリピート」の一部サーバがサイバー攻撃を受けたもの。
2025年10月24日に同システムのログを監視していた際に異常なアクセスを検知。第三者によって侵害された痕跡を確認し、サーバをネットワークから隔離して原因や影響など詳細について調べていた。
ランサム被害による個人情報流出を確認 - 保険事故調査会社
保険事故調査を手がける審調社は、ランサムウェアを用いたサイバー攻撃を受けた問題で、調査結果を取りまとめた。
同社では2025年6月27日に外部よりサイバー攻撃を受け、一部サーバ内に保存されていたファイルがランサムウェアにより暗号化されるなど被害が発生。事態を公表するとともに外部協力のもと調査を進めていた。
委託調査に関する個人情報として、約10万2700件の流出を確認した。
このうち約8万9000件については委託を受けている保険や共済の管理番号、証券番号のみで氏名や要配慮情報は含まれないとしている。
保険事故調査を手がける審調社は、ランサムウェアを用いたサイバー攻撃を受けた問題で、調査結果を取りまとめた。
同社では2025年6月27日に外部よりサイバー攻撃を受け、一部サーバ内に保存されていたファイルがランサムウェアにより暗号化されるなど被害が発生。事態を公表するとともに外部協力のもと調査を進めていた。
委託調査に関する個人情報として、約10万2700件の流出を確認した。
このうち約8万9000件については委託を受けている保険や共済の管理番号、証券番号のみで氏名や要配慮情報は含まれないとしている。
【セキュリティ ニュース】ランサム被害による個人情報流出を確認 - 保険事故調査会社(1ページ目 / 全2ページ):Security NEXT
保険事故調査を手がける審調社は、ランサムウェアを用いたサイバー攻撃を受けた問題で、調査結果を取りまとめた。
:Security NEXT
www.security-next.com
December 9, 2025 at 9:46 PM
ランサム被害による個人情報流出を確認 - 保険事故調査会社
保険事故調査を手がける審調社は、ランサムウェアを用いたサイバー攻撃を受けた問題で、調査結果を取りまとめた。
同社では2025年6月27日に外部よりサイバー攻撃を受け、一部サーバ内に保存されていたファイルがランサムウェアにより暗号化されるなど被害が発生。事態を公表するとともに外部協力のもと調査を進めていた。
委託調査に関する個人情報として、約10万2700件の流出を確認した。
このうち約8万9000件については委託を受けている保険や共済の管理番号、証券番号のみで氏名や要配慮情報は含まれないとしている。
保険事故調査を手がける審調社は、ランサムウェアを用いたサイバー攻撃を受けた問題で、調査結果を取りまとめた。
同社では2025年6月27日に外部よりサイバー攻撃を受け、一部サーバ内に保存されていたファイルがランサムウェアにより暗号化されるなど被害が発生。事態を公表するとともに外部協力のもと調査を進めていた。
委託調査に関する個人情報として、約10万2700件の流出を確認した。
このうち約8万9000件については委託を受けている保険や共済の管理番号、証券番号のみで氏名や要配慮情報は含まれないとしている。
中国製KVMにひっそりマイクが搭載されていることが判明、中国拠点のサーバーと通信している痕跡も
中国に拠点を置くSipeedの製品「NanoKVM」に、SSH経由で起動可能な未記載のマイクが搭載されていることが分かりました。
NanoKVMは、中国企業Sipeedが開発したKVMスイッチです。他社製品と比較して安価で、仮想キーボード、マウス、モニターを使ってコンピューターやサーバーをリモート操作できるこの端末はオンラインで急速に注目を集めましたが、スロベニアのセキュリティ研究者が調査した結果、深刻な問題がいくつか存在することが明らかになっています。
中国に拠点を置くSipeedの製品「NanoKVM」に、SSH経由で起動可能な未記載のマイクが搭載されていることが分かりました。
NanoKVMは、中国企業Sipeedが開発したKVMスイッチです。他社製品と比較して安価で、仮想キーボード、マウス、モニターを使ってコンピューターやサーバーをリモート操作できるこの端末はオンラインで急速に注目を集めましたが、スロベニアのセキュリティ研究者が調査した結果、深刻な問題がいくつか存在することが明らかになっています。
中国製KVMにひっそりマイクが搭載されていることが判明、中国拠点のサーバーと通信している痕跡も
中国に拠点を置くSipeedの製品「NanoKVM」に、SSH経由で起動可能な未記載のマイクが搭載されていることが分かりました。
gigazine.net
December 9, 2025 at 9:40 PM
中国製KVMにひっそりマイクが搭載されていることが判明、中国拠点のサーバーと通信している痕跡も
中国に拠点を置くSipeedの製品「NanoKVM」に、SSH経由で起動可能な未記載のマイクが搭載されていることが分かりました。
NanoKVMは、中国企業Sipeedが開発したKVMスイッチです。他社製品と比較して安価で、仮想キーボード、マウス、モニターを使ってコンピューターやサーバーをリモート操作できるこの端末はオンラインで急速に注目を集めましたが、スロベニアのセキュリティ研究者が調査した結果、深刻な問題がいくつか存在することが明らかになっています。
中国に拠点を置くSipeedの製品「NanoKVM」に、SSH経由で起動可能な未記載のマイクが搭載されていることが分かりました。
NanoKVMは、中国企業Sipeedが開発したKVMスイッチです。他社製品と比較して安価で、仮想キーボード、マウス、モニターを使ってコンピューターやサーバーをリモート操作できるこの端末はオンラインで急速に注目を集めましたが、スロベニアのセキュリティ研究者が調査した結果、深刻な問題がいくつか存在することが明らかになっています。
Synology製NASに複数脆弱性 - 情報漏洩やDoSのおそれ
Synology製NASのOSとなる「DiskStation Manager(DSM)」やNASの統合管理ソリューション「DSM Unified Controller(DSMUC)」に複数の脆弱性が明らかとなった。情報漏洩やサービス拒否が生じるおそれがあるとし、アップデートを呼びかけている。
現地時間2025年12月4日、アドバイザリにて3件の脆弱性「CVE-2024-45538」「CVE-2024-45539」「CVE-2024-5401」に関する詳細を明らかにしたもの。
アドバイザリの重要度は4段階中、上から2番…
Synology製NASのOSとなる「DiskStation Manager(DSM)」やNASの統合管理ソリューション「DSM Unified Controller(DSMUC)」に複数の脆弱性が明らかとなった。情報漏洩やサービス拒否が生じるおそれがあるとし、アップデートを呼びかけている。
現地時間2025年12月4日、アドバイザリにて3件の脆弱性「CVE-2024-45538」「CVE-2024-45539」「CVE-2024-5401」に関する詳細を明らかにしたもの。
アドバイザリの重要度は4段階中、上から2番…
【セキュリティ ニュース】Synology製NASに複数脆弱性 - 情報漏洩やDoSのおそれ(1ページ目 / 全2ページ):Security NEXT
Synology製NASのOSとなる「DiskStation Manager(DSM)」や「Unified Controller(DSMUC)」に複数の脆弱性が明らかとなった。情報漏洩やサービス拒否が生じるおそれがあるとし、アップデートを呼びかけている。
:Security NEXT
www.security-next.com
December 9, 2025 at 9:37 PM
Synology製NASに複数脆弱性 - 情報漏洩やDoSのおそれ
Synology製NASのOSとなる「DiskStation Manager(DSM)」やNASの統合管理ソリューション「DSM Unified Controller(DSMUC)」に複数の脆弱性が明らかとなった。情報漏洩やサービス拒否が生じるおそれがあるとし、アップデートを呼びかけている。
現地時間2025年12月4日、アドバイザリにて3件の脆弱性「CVE-2024-45538」「CVE-2024-45539」「CVE-2024-5401」に関する詳細を明らかにしたもの。
アドバイザリの重要度は4段階中、上から2番…
Synology製NASのOSとなる「DiskStation Manager(DSM)」やNASの統合管理ソリューション「DSM Unified Controller(DSMUC)」に複数の脆弱性が明らかとなった。情報漏洩やサービス拒否が生じるおそれがあるとし、アップデートを呼びかけている。
現地時間2025年12月4日、アドバイザリにて3件の脆弱性「CVE-2024-45538」「CVE-2024-45539」「CVE-2024-5401」に関する詳細を明らかにしたもの。
アドバイザリの重要度は4段階中、上から2番…
CISA Adds Two Known Exploited Vulnerabilities to Catalog
Release Date December 08, 2025
CVE-2022-37055 D-Link Routers Buffer Overflow Vulnerability
CVE-2025-66644 Array Networks ArrayOS AG OS Command Injection Vulnerability
Release Date December 08, 2025
CVE-2022-37055 D-Link Routers Buffer Overflow Vulnerability
CVE-2025-66644 Array Networks ArrayOS AG OS Command Injection Vulnerability
CISA Adds Two Known Exploited Vulnerabilities to Catalog | CISA
CISA has added two new vulnerabilities to its KEV Catalog, based on evidence of active exploitation.
www.cisa.gov
December 9, 2025 at 9:32 PM
CISA Adds Two Known Exploited Vulnerabilities to Catalog
Release Date December 08, 2025
CVE-2022-37055 D-Link Routers Buffer Overflow Vulnerability
CVE-2025-66644 Array Networks ArrayOS AG OS Command Injection Vulnerability
Release Date December 08, 2025
CVE-2022-37055 D-Link Routers Buffer Overflow Vulnerability
CVE-2025-66644 Array Networks ArrayOS AG OS Command Injection Vulnerability
海外子会社の予約管理システムが侵害、個人情報流出 - tripla
宿泊施設向けの支援サービスを展開するtriplaは、海外子会社がサイバー攻撃を受け、個人情報が流出したことを明らかにした。
インドネシアの子会社であるtripla BookandLink Indonesiaのサーバが外部より侵害されたことが2025年12月6日に判明したもの。
ネットワークより切り離し、影響について調査を進めたところ、予約情報を管理する同社システムに侵害された形跡があり、顧客の一部個人情報が外部へ流出したことが判明した。
宿泊者の氏名、宿泊日、予約ID、宿泊施設名などが含まれる。
宿泊施設向けの支援サービスを展開するtriplaは、海外子会社がサイバー攻撃を受け、個人情報が流出したことを明らかにした。
インドネシアの子会社であるtripla BookandLink Indonesiaのサーバが外部より侵害されたことが2025年12月6日に判明したもの。
ネットワークより切り離し、影響について調査を進めたところ、予約情報を管理する同社システムに侵害された形跡があり、顧客の一部個人情報が外部へ流出したことが判明した。
宿泊者の氏名、宿泊日、予約ID、宿泊施設名などが含まれる。
【セキュリティ ニュース】海外子会社の予約管理システムが侵害、個人情報流出 - tripla(1ページ目 / 全1ページ):Security NEXT
宿泊施設向けの支援サービスを展開するtriplaは、海外子会社がサイバー攻撃を受け、個人情報が流出したことを明らかにした。
:Security NEXT
www.security-next.com
December 8, 2025 at 10:55 PM
海外子会社の予約管理システムが侵害、個人情報流出 - tripla
宿泊施設向けの支援サービスを展開するtriplaは、海外子会社がサイバー攻撃を受け、個人情報が流出したことを明らかにした。
インドネシアの子会社であるtripla BookandLink Indonesiaのサーバが外部より侵害されたことが2025年12月6日に判明したもの。
ネットワークより切り離し、影響について調査を進めたところ、予約情報を管理する同社システムに侵害された形跡があり、顧客の一部個人情報が外部へ流出したことが判明した。
宿泊者の氏名、宿泊日、予約ID、宿泊施設名などが含まれる。
宿泊施設向けの支援サービスを展開するtriplaは、海外子会社がサイバー攻撃を受け、個人情報が流出したことを明らかにした。
インドネシアの子会社であるtripla BookandLink Indonesiaのサーバが外部より侵害されたことが2025年12月6日に判明したもの。
ネットワークより切り離し、影響について調査を進めたところ、予約情報を管理する同社システムに侵害された形跡があり、顧客の一部個人情報が外部へ流出したことが判明した。
宿泊者の氏名、宿泊日、予約ID、宿泊施設名などが含まれる。
多治見市の複数小中校で不正アクセス - 迷惑メール1.6万件送信
多治見市内の小中学校5校においてメールアカウントが第三者によってログインされ、意図しない大量のなりすましメールが送信されたことがわかった。
岐阜県によれば、同市5校においてメールアカウントが不正アクセスされたもの。そのうち3校のメールアカウントから無関係のメールが大量に送信された。
2025年11月5日9時前から翌6日6時半過ぎにかけて約1万6000件のメールアドレスに対してメールが送信されており、無関係のメールアドレスに対して返信を求める内容が記載されていた。
11月6日、3校から送受信した覚えのないメールが多数...
多治見市内の小中学校5校においてメールアカウントが第三者によってログインされ、意図しない大量のなりすましメールが送信されたことがわかった。
岐阜県によれば、同市5校においてメールアカウントが不正アクセスされたもの。そのうち3校のメールアカウントから無関係のメールが大量に送信された。
2025年11月5日9時前から翌6日6時半過ぎにかけて約1万6000件のメールアドレスに対してメールが送信されており、無関係のメールアドレスに対して返信を求める内容が記載されていた。
11月6日、3校から送受信した覚えのないメールが多数...
【セキュリティ ニュース】多治見市の複数小中校で不正アクセス - 迷惑メール1.6万件送信(1ページ目 / 全1ページ):Security NEXT
多治見市内の小中学校5校においてメールアカウントが第三者によってログインされ、意図しない大量のなりすましメールが送信されたことがわかった。
:Security NEXT
www.security-next.com
December 8, 2025 at 10:42 PM
多治見市の複数小中校で不正アクセス - 迷惑メール1.6万件送信
多治見市内の小中学校5校においてメールアカウントが第三者によってログインされ、意図しない大量のなりすましメールが送信されたことがわかった。
岐阜県によれば、同市5校においてメールアカウントが不正アクセスされたもの。そのうち3校のメールアカウントから無関係のメールが大量に送信された。
2025年11月5日9時前から翌6日6時半過ぎにかけて約1万6000件のメールアドレスに対してメールが送信されており、無関係のメールアドレスに対して返信を求める内容が記載されていた。
11月6日、3校から送受信した覚えのないメールが多数...
多治見市内の小中学校5校においてメールアカウントが第三者によってログインされ、意図しない大量のなりすましメールが送信されたことがわかった。
岐阜県によれば、同市5校においてメールアカウントが不正アクセスされたもの。そのうち3校のメールアカウントから無関係のメールが大量に送信された。
2025年11月5日9時前から翌6日6時半過ぎにかけて約1万6000件のメールアドレスに対してメールが送信されており、無関係のメールアドレスに対して返信を求める内容が記載されていた。
11月6日、3校から送受信した覚えのないメールが多数...
「Avast Antivirus」macOS版に脆弱性 - RCEやDoSのおそれ
GEN Digitalのマルウェア対策製品「Avast Antivirus」のmacOS版に脆弱性が明らかとなった。
ヒープベースのバッファオーバーフローや域外のメモリを読み込む脆弱性「CVE-2025-8351」が明らかとなったもの。
ローカル環境において任意のコードを実行されたり、マルウェア対策エンジンにおいてサービス拒否を引き起こすことが可能になるという。
共通脆弱性評価システム「CVSSv3.1」のベーススコアは「9.0」、重要度は4段階中もっとも高い「クリティカル(Critical)」と...
GEN Digitalのマルウェア対策製品「Avast Antivirus」のmacOS版に脆弱性が明らかとなった。
ヒープベースのバッファオーバーフローや域外のメモリを読み込む脆弱性「CVE-2025-8351」が明らかとなったもの。
ローカル環境において任意のコードを実行されたり、マルウェア対策エンジンにおいてサービス拒否を引き起こすことが可能になるという。
共通脆弱性評価システム「CVSSv3.1」のベーススコアは「9.0」、重要度は4段階中もっとも高い「クリティカル(Critical)」と...
【セキュリティ ニュース】「Avast Antivirus」macOS版に脆弱性 - RCEやDoSのおそれ(1ページ目 / 全1ページ):Security NEXT
GEN Digitalのマルウェア対策製品「Avast Antivirus」のmacOS版に脆弱性が明らかとなった。
:Security NEXT
www.security-next.com
December 8, 2025 at 10:32 PM
「Avast Antivirus」macOS版に脆弱性 - RCEやDoSのおそれ
GEN Digitalのマルウェア対策製品「Avast Antivirus」のmacOS版に脆弱性が明らかとなった。
ヒープベースのバッファオーバーフローや域外のメモリを読み込む脆弱性「CVE-2025-8351」が明らかとなったもの。
ローカル環境において任意のコードを実行されたり、マルウェア対策エンジンにおいてサービス拒否を引き起こすことが可能になるという。
共通脆弱性評価システム「CVSSv3.1」のベーススコアは「9.0」、重要度は4段階中もっとも高い「クリティカル(Critical)」と...
GEN Digitalのマルウェア対策製品「Avast Antivirus」のmacOS版に脆弱性が明らかとなった。
ヒープベースのバッファオーバーフローや域外のメモリを読み込む脆弱性「CVE-2025-8351」が明らかとなったもの。
ローカル環境において任意のコードを実行されたり、マルウェア対策エンジンにおいてサービス拒否を引き起こすことが可能になるという。
共通脆弱性評価システム「CVSSv3.1」のベーススコアは「9.0」、重要度は4段階中もっとも高い「クリティカル(Critical)」と...
「Langflow」に未修正脆弱性、緩和策を - 報告者「修正が後回し」
AIエージェントやワークフローの構築に活用されているプラットフォーム「Langflow」に深刻な脆弱性が判明した。緩和策の実施が呼びかけられている。デフォルト環境における対策は次期バージョンで導入される見込み。
異なるオリジン間でのリソース共有を制御する「Cross-Origin Resource Sharing(CORS)」の設定や、Cookie属性の処理における不備、CSRF対策の欠如などが存在し、トークンの窃取が可能となる脆弱性「CVE-2025-34291」が明らかとなったもの。奪取したトークンにより、...
AIエージェントやワークフローの構築に活用されているプラットフォーム「Langflow」に深刻な脆弱性が判明した。緩和策の実施が呼びかけられている。デフォルト環境における対策は次期バージョンで導入される見込み。
異なるオリジン間でのリソース共有を制御する「Cross-Origin Resource Sharing(CORS)」の設定や、Cookie属性の処理における不備、CSRF対策の欠如などが存在し、トークンの窃取が可能となる脆弱性「CVE-2025-34291」が明らかとなったもの。奪取したトークンにより、...
【セキュリティ ニュース】「Langflow」に未修正脆弱性、緩和策を - 報告者「修正が後回し」(1ページ目 / 全2ページ):Security NEXT
AIエージェントやワークフローの構築に活用されているプラットフォーム「Langflow」に深刻な脆弱性が判明した。緩和策の実施が呼びかけられている。デフォルト環境における対策は次期バージョンで導入される見込み。
:Security NEXT
www.security-next.com
December 8, 2025 at 10:29 PM
「Langflow」に未修正脆弱性、緩和策を - 報告者「修正が後回し」
AIエージェントやワークフローの構築に活用されているプラットフォーム「Langflow」に深刻な脆弱性が判明した。緩和策の実施が呼びかけられている。デフォルト環境における対策は次期バージョンで導入される見込み。
異なるオリジン間でのリソース共有を制御する「Cross-Origin Resource Sharing(CORS)」の設定や、Cookie属性の処理における不備、CSRF対策の欠如などが存在し、トークンの窃取が可能となる脆弱性「CVE-2025-34291」が明らかとなったもの。奪取したトークンにより、...
AIエージェントやワークフローの構築に活用されているプラットフォーム「Langflow」に深刻な脆弱性が判明した。緩和策の実施が呼びかけられている。デフォルト環境における対策は次期バージョンで導入される見込み。
異なるオリジン間でのリソース共有を制御する「Cross-Origin Resource Sharing(CORS)」の設定や、Cookie属性の処理における不備、CSRF対策の欠如などが存在し、トークンの窃取が可能となる脆弱性「CVE-2025-34291」が明らかとなったもの。奪取したトークンにより、...