Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。

本日気になった注意喚起情報(11/20)

注意喚起情報

当方は忙しくない時は平日朝に、セキュリティ/AI関連の記事を巡回チェックしていますが、目についた注意喚起系の記事・情報を可能な範囲でまとめて配信します。人力&片手間でやっているので、類似記事などの重複や情報精度等々のクレームはご容赦ください。

※平日朝に記事をチェックしている関係上、前日まで(月曜日は週末)の注意喚起情報が拾われる事が多いかと思います。速報性を求められる方は元ソースなどを参考に、この手の情報収集(RSS利用)をされる事をお勧めします。

※国内記事➡海外記事とチェックしているため、速報性を重視し、国内の注意喚起情報がまとまった時点で記事を暫定公開します。(海外記事チェックが終わりましたら、海外まとめのTBD部分を更新します)

 

■国内情報

【セキュリティ ニュース】「FortiWeb」に悪用済み脆弱性が判明 - 今月2件目(1ページ目 / 全1ページ):Security NEXT

JavaScript ライブラリ expr-eval および expr-eval-fork に任意のコード実行につながる脆弱性 | ScanNetSecurity

ASP.NET のセキュリティ機能バイパスの脆弱性 | ScanNetSecurity

JPCERT コーディネーションセンター Weekly Report

【セキュリティ ニュース】「Monsta FTP」に深刻な脆弱性 - 8月のアップデートで修正済み(1ページ目 / 全1ページ):Security NEXT

「Windows 11のAIエージェントがマルウェアをインストールする可能性がある」とMicrosoftが警告 - GIGAZINE

【セキュリティ ニュース】米当局、「FortiWeb」の脆弱性悪用に注意喚起(1ページ目 / 全1ページ):Security NEXT

NCP-HG100 に OSコマンドインジェクションの脆弱性 | ScanNetSecurity

【セキュリティ ニュース】「MS Edge」にアップデート - ゼロデイ脆弱性を解消(1ページ目 / 全1ページ):Security NEXT

【セキュリティ ニュース】ファイル管理ツール「File Browser」に脆弱性 - 依存ライブラリに起因(1ページ目 / 全1ページ):Security NEXT

JVNVU#92758463: Wolfram Cloudに一時ディレクトリの競合状態に起因する権限昇格につながる脆弱性

JVNVU#90148644: 複数のSchneider Electric製品における複数の脆弱性

JVN#50288352: らくらく無線スタートEX for WindowsのインストーラにおけるDLL読み込みに関する脆弱性

 

■海外情報

CISA Adds One Known Exploited Vulnerability to Catalog | CISA (CISAが既知の脆弱性1件をカタログに追加)

CVE-2025-13223 Google Chromium V8 の型混乱の脆弱性 

CISA Releases Guide to Mitigate Risks from Bulletproof Hosting Providers | CISA (CISA、防弾ホスティングプロバイダーによるリスクを軽減するためのガイドを公開)

Hackers Actively Exploiting 7-Zip Symbolic Link–Based RCE Vulnerability (CVE-2025-11001) (ハッカー7-ZipシンボリックリンクベースのRCE脆弱性(CVE-2025-11001)を積極的に悪用)

Fortinet Discloses Second Exploited FortiWeb Zero-Day in a Week - SecurityWeek (フォーティネット、1週間で2件目のFortiWebゼロデイ脆弱性を公表)

Fortinet Warns of New FortiWeb CVE-2025-58034 Vulnerability Exploited in the Wild (フォーティネット、FortiWebの新たな脆弱性CVE-2025-58034が実環境で悪用されたと警告)

WrtHug Exploits Six ASUS WRT Flaws to Hijack Tens of Thousands of EoL Routers Worldwide (WrtHugがASUS WRTの6つの脆弱性を悪用し、世界中で数万台の製造中止ルーターを乗っ取る)

7-Zip vulnerability is being actively exploited, NHS England warns (CVE-2025-11001) - Help Net Security (7-Zip脆弱性が積極的に悪用されていると NHS England が警告 (CVE-2025-11001))

Stealth-patched FortiWeb vulnerability under active exploitation (CVE-2025-58034) - Help Net Security (ステルスパッチを適用した FortiWeb の脆弱性が現在も悪用されている (CVE-2025-58034))

W3 Total Cache WordPress plugin vulnerable to PHP command injection (W3 Total Cache WordPressプラグインPHPコマンドインジェクションに対して脆弱です)

New WrtHug campaign hijacks thousands of end-of-life ASUS routers (新たなWrtHugキャンペーンが、数千台のサポート終了したASUSルーターを乗っ取る)

7-Zip RCE flaw (CVE-2025-11001) actively exploited in attacks in the wild (7-ZipのRCE脆弱性(CVE-2025-11001)が実際の攻撃で積極的に悪用されている)

Operation WrtHug hijacks 50,000+ ASUS routers to build a global botnet (Operation WrtHugが5万台以上のASUSルーターを乗っ取り、世界規模のボットネットを構築)

U.S. CISA adds a new Fortinet FortiWeb flaw to its Known Exploited Vulnerabilities catalog (米国CISAが、既知の脆弱性カタログにフォーティネットFortiWebの新たな脆弱性を追加)

 

■イエローページ(主な情報ソース)

JPCERTCC

フィッシング対策協議会

SecurityNext

ScanNetSecurity

マイナビニュース

CISA

FBI

HelpNetSecurity

BleepingComputer

 

本日もご来訪ありがとうございました。

Thank you for your visit. Let me know your thoughts in the comments.

 

更新履歴

  • 2025年11月20