Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。

本日気になった注意喚起情報(12/4)

注意喚起情報

当方は忙しくない時は平日朝に、セキュリティ/AI関連の記事を巡回チェックしていますが、目についた注意喚起系の記事・情報を可能な範囲でまとめて配信します。人力&片手間でやっているので、類似記事などの重複や情報精度等々のクレームはご容赦ください。

※平日朝に記事をチェックしている関係上、前日まで(月曜日は週末)の注意喚起情報が拾われる事が多いかと思います。速報性を求められる方は元ソースなどを参考に、この手の情報収集(RSS利用)をされる事をお勧めします。

※国内記事➡海外記事とチェックしているため、速報性を重視し、国内の注意喚起情報がまとまった時点で記事を暫定公開します。(海外記事チェックが終わりましたら、海外まとめのTBD部分を更新します)

 

■国内情報

フィッシング対策協議会 Council of Anti-Phishing Japan | ニュース | 緊急情報 | ローソンチケットをかたるフィッシング (2025/12/03)

JVNVU#99686415: nopCommerceにセッションCookieが無効化されない脆弱性

Array Networks Array AGシリーズにおけるコマンドインジェクションの脆弱性に関する注意喚起

ChatGPTかたるフィッシングに注意 アカウントの期限切れ装い偽サイトへ誘導 - ITmedia NEWS

JavaScriptライブラリ「Forge」に署名検証不備の脆弱性 | ScanNetSecurity

【セキュリティ ニュース】「Array AG」にCVE未採番の脆弱性 - 8月に国内で悪用被害(1ページ目 / 全1ページ):Security NEXT

【セキュリティ ニュース】マルウェア対策製品「Avast Antivirus」に権限昇格の脆弱性(1ページ目 / 全1ページ):Security NEXT

【セキュリティ ニュース】「Android Framework」のゼロデイ脆弱性に注意喚起 - 米当局(1ページ目 / 全1ページ):Security NEXT

【セキュリティ ニュース】「Android」に月例パッチ、脆弱性107件に対応 - 2件ですでに悪用も(1ページ目 / 全2ページ):Security NEXT

【セキュリティ ニュース】「Chrome 143」を公開 - 重要度「高」4件含む脆弱性13件に対応(1ページ目 / 全1ページ):Security NEXT

【セキュリティ ニュース】「ローチケ」装うフィッシング攻撃 - 当選通知など偽装(1ページ目 / 全1ページ):Security NEXT

INZONE Hub のインストーラに DLL 読み込みに関する脆弱性 | ScanNetSecurity

JVNVU#93931600: Mirion Medical製EC2 Software NMIS BioDoseにおける複数の脆弱性

JVNVU#94566402: Industrial Video & Control製Longwatchにおけるコードインジェクションの脆弱性

 

■海外情報

CISA Adds One Known Exploited Vulnerability to Catalog | CISA (CISA、既知の悪用された脆弱性を1件カタログに追加)

CVE-2021-26828 OpenPLC ScadaBR における危険なタイプのファイルの無制限アップロードの脆弱性 

CISA, Australia, and Partners Author Joint Guidance on Securely Integrating Artificial Intelligence in Operational Technology | CISA (CISA、オーストラリア、およびパートナーが、運用技術における人工知能の安全な統合に関する共同ガイダンスを作成)

Critical RSC Bugs in React and Next.js Allow Unauthenticated Remote Code Execution (ReactとNext.jsの重大なRSCバグにより、認証されていないリモートコード実行が可能に)

Microsoft Silently Patches Windows LNK Flaw After Years of Active Exploitation (マイクロソフト、長年の悪用後、Windows LNK の脆弱性をひそかに修正)

WordPress King Addons Flaw Under Active Attack Lets Hackers Make Admin Accounts (WordPress King Addonsの脆弱性、攻撃を受けハッカーが管理者アカウントを作成可能に)

Picklescan Bugs Allow Malicious PyTorch Models to Evade Scans and Execute Code (Picklescan のバグにより、悪意のある PyTorch モデルがスキャンを回避してコードを実行できるようになる)

Malicious Rust Crate Delivers OS-Specific Malware to Web3 Developer Systems (悪意のあるRust CrateがWeb3開発者システムにOS固有のマルウェアを配信)

'Exploitation is imminent' of max-severity React bug • The Register (クラウド環境の39%に最大深刻度のReactホールが存在するため、「悪用は差し迫っている」)

Critical React Flaw Triggers Calls for Immediate Action (重大なReactの欠陥により、即時の対策を求める声が上がる)

Critical flaw in WordPress add-on for Elementor exploited in attacks (ElementorのWordPressアドオンの重大な欠陥が攻撃に悪用される)

Microsoft "mitigates" Windows LNK flaw exploited as zero-day (マイクロソフトゼロデイ攻撃として悪用されるWindowsのLNK脆弱性を「緩和」)

King Addons flaw lets anyone become WordPress admin (King Addonsの欠陥により誰でもWordPressの管理者になれる)

■イエローページ(主な情報ソース)

JPCERTCC

フィッシング対策協議会

SecurityNext

ScanNetSecurity

マイナビニュース

CISA

FBI

HelpNetSecurity

BleepingComputer

 

本日もご来訪ありがとうございました。

Thank you for your visit. Let me know your thoughts in the comments.

 

更新履歴

  • 2025年12月4