Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。

本日気になった注意喚起情報(12/8)

注意喚起情報

当方は忙しくない時は平日朝に、セキュリティ/AI関連の記事を巡回チェックしていますが、目についた注意喚起系の記事・情報を可能な範囲でまとめて配信します。人力&片手間でやっているので、類似記事などの重複や情報精度等々のクレームはご容赦ください。

※平日朝に記事をチェックしている関係上、前日まで(月曜日は週末)の注意喚起情報が拾われる事が多いかと思います。速報性を求められる方は元ソースなどを参考に、この手の情報収集(RSS利用)をされる事をお勧めします。

※国内記事➡海外記事とチェックしているため、速報性を重視し、国内の注意喚起情報がまとまった時点で記事を暫定公開します。(海外記事チェックが終わりましたら、海外まとめのTBD部分を更新します)

 

■国内情報

【セキュリティ ニュース】「React」脆弱性、実証コード公開 - 悪用リスクが上昇(1ページ目 / 全1ページ):Security NEXT

【セキュリティ ニュース】「Apache bRPC」に深刻な脆弱性 - 悪意あるJSONでDoSのおそれ(1ページ目 / 全1ページ):Security NEXT

Array Networks Array AGシリーズにおけるコマンドインジェクションの脆弱性に関する注意喚起

CVSSは「10.0」 ReactとNext.jsにリモートコード実行の脆弱性:セキュリティニュースアラート - ITmedia エンタープライズ

クラウドフレアでまた障害 APIで問題 Zoomやメルカリなどつながりにくく【追記あり】 - ITmedia NEWS

Cloudflare、約25分間のネットワーク障害の原因を説明し謝罪 - ITmedia NEWS

【セキュリティ ニュース】「GitLab」に複数の脆弱性 - アップデートで修正(1ページ目 / 全1ページ):Security NEXT

JVNVU#95127786: SolisCloud製Monitoring Platformにおけるユーザ識別情報操作による権限チェック回避の脆弱性

JVNVU#90026877: 複数のSunbird製品における複数の脆弱性

JVNVU#91904913: 複数のJohnson Controls製品における複数の脆弱性

JVNVU#99073323: MAXHUB製Pivotにおける脆弱なパスワードリカバリの脆弱性

JVNVU#98826583: Fluent Bitにおける複数の脆弱性

JVNVU#97286548: Apache HTTP Server 2.4における複数の脆弱性に対するアップデート(2025年12月)

 

■海外情報

CISA Adds One Known Exploited Vulnerability to Catalog | CISA (CISAが既知の脆弱性1件をカタログに追加)

CVE-2025-55182 Meta React サーバーコンポーネントのリモートコード実行の脆弱性

Critical React2Shell Flaw Added to CISA KEV After Confirmed Active Exploitation (重大なReact2Shellの脆弱性が、アクティブな悪用が確認された後、CISA KEVに追加されました)

Zero-Click Agentic Browser Attack Can Delete Entire Google Drive Using Crafted Emails (ゼロクリック・エージェント型ブラウザ攻撃、細工されたメールを使ってGoogleドライブ全体を削除可能)

Critical XXE Bug CVE-2025-66516 (CVSS 10.0) Hits Apache Tika, Requires Urgent Patch (重大なXXEバグCVE-2025-66516(CVSS 10.0)がApache Tikaに影響、緊急パッチが必要)

CISA, NSA warn of China’s BRICKSTORM malware after incident response efforts | The Record from Recorded Future News (CISANSA、インシデント対応の取り組み後、中国のBRICKSTORMマルウェアについて警告)

New wave of VPN login attempts targets Palo Alto GlobalProtect portals (新たなVPNログイン試行の波がパロアルトGlobalProtectポータルを標的に)

React2Shell flaw exploited to breach 30 orgs, 77k IP addresses vulnerable (React2Shell の脆弱性を悪用し、30 の組織、77,000 の IP アドレスが侵害される)

Attackers launch dual campaign on GlobalProtect portals and SonicWall APIs (攻撃者はGlobalProtectポータルとSonicWall APIを標的とした二重の攻撃を開始)

 

■イエローページ(主な情報ソース)

JPCERTCC

フィッシング対策協議会

SecurityNext

ScanNetSecurity

マイナビニュース

CISA

FBI

HelpNetSecurity

BleepingComputer

 

本日もご来訪ありがとうございました。

Thank you for your visit. Let me know your thoughts in the comments.

 

更新履歴

  • 2025年12月8