Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。

本日気になった注意喚起情報(10/31)

注意喚起情報

当方は忙しくない時は平日朝に、セキュリティ/AI関連の記事を巡回チェックしていますが、目についた注意喚起系の記事・情報を可能な範囲でまとめて配信します。人力&片手間でやっているので、類似記事などの重複や情報精度等々のクレームはご容赦ください。

※平日朝に記事をチェックしている関係上、前日まで(月曜日は週末)の注意喚起情報が拾われる事が多いかと思います。速報性を求められる方は元ソースなどを参考に、この手の情報収集(RSS利用)をされる事をお勧めします。

※国内記事➡海外記事とチェックしているため、速報性を重視し、国内の注意喚起情報がまとまった時点で記事を暫定公開します。(海外記事チェックが終わりましたら、海外まとめのTBD部分を更新します)

 

■国内情報

既知または弱いシークレットを設定したWebアプリケーションの改ざんリスクについて

TP-Link 製 Omadaゲートウェイに複数の OSコマンドインジェクションの脆弱性 | ScanNetSecurity

【セキュリティ ニュース】米当局、「WSUS」脆弱性で対象サーバの特定や侵害監視を呼びかけ(1ページ目 / 全1ページ):Security NEXT

【セキュリティ ニュース】「WordPress」のキャッシュプラグインにXSS脆弱性(1ページ目 / 全1ページ):Security NEXT

【セキュリティ ニュース】サンプルコードなどの既知シークレット流用、サイト侵害の原因に(1ページ目 / 全1ページ):Security NEXT

【セキュリティ ニュース】「Kea DHCP」にサービス拒否の脆弱性 - アップデートが公開(1ページ目 / 全1ページ):Security NEXT

PowerDNS Recursor の脆弱性情報(CVE-2025-59023、CVE-2025-59024)が公開 | ScanNetSecurity

Unbound の脆弱性情報(CVE-2025-11411)が公開 | ScanNetSecurity

 

■海外情報

CISA Adds Two Known Exploited Vulnerabilities to Catalog | CISA (CISAが2つの既知の脆弱性をカタログに追加)

CVE-2025-24893 XWiki プラットフォームの評価インジェクション脆弱性
CVE-2025-41244 Broadcom VMware Aria Operations および VMware Tools の権限定義における安全でないアクションの脆弱性

CISA Releases Two Industrial Control Systems Advisories | CISA (CISAが産業用制御システムに関する2つの勧告を発表)

ICSA-25-303-01国際標準化機構 ISO 15118-2
ICSA-25-303-02日立エナジーTropOS 

Docker Compose vulnerability opens door to host-level writes • The Register (Docker Composeの脆弱性によりホストレベルの書き込みが可能に – 早急にパッチ適用を)

npm hit by PhantomRaven supply chain attack • The Register (目に見えないnpmマルウェアが姿を消し、トークンを盗む)

Claroty Patches Critical Authentication Bypass Flaw (Clarotyの重大な認証バイパスの脆弱性によりOTが攻撃を受ける)

Attackers exploiting WSUS vulnerability drop Skuld infostealer (CVE-2025-59287) - Help Net Security (WSUSの脆弱性を悪用した攻撃者がSkuldインフォスティーラー(CVE-2025-59287)をドロップ)

CISA orders feds to patch VMware Tools flaw exploited by Chinese hackers (CISA、中国ハッカーが悪用したVMware Toolsの脆弱性を修正するよう連邦政府に命令)

LinkedIn phishing targets finance execs with fake board invites (LinkedInのフィッシング詐欺、偽の取締役会招待状で金融幹部を狙う)

Critical Flaws Found in Elementor King Addons Affect 10,000 Sites - Infosecurity Magazine (Elementor Kingアドオンに重大な欠陥が発見され、1万サイトに影響)

Chrome to Make HTTPS Mandatory by Default in 2026 - Infosecurity Magazine (Chrome、2026年にHTTPSをデフォルトで必須化へ)

Brush exploit can cause any Chromium browser to collapse in 15-60 seconds (Brush の脆弱性により、15~60 秒であらゆる Chromium ブラウザがクラッシュする可能性があります)

 

■イエローページ(主な情報ソース)

JPCERTCC

フィッシング対策協議会

SecurityNext

ScanNetSecurity

マイナビニュース

CISA

FBI

HelpNetSecurity

BleepingComputer

 

本日もご来訪ありがとうございました。

Thank you for your visit. Let me know your thoughts in the comments.

 

更新履歴

  • 2025年10月31