Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。

本日気になった注意喚起情報(12/10)

注意喚起情報

当方は忙しくない時は平日朝に、セキュリティ/AI関連の記事を巡回チェックしていますが、目についた注意喚起系の記事・情報を可能な範囲でまとめて配信します。人力&片手間でやっているので、類似記事などの重複や情報精度等々のクレームはご容赦ください。

※平日朝に記事をチェックしている関係上、前日まで(月曜日は週末)の注意喚起情報が拾われる事が多いかと思います。速報性を求められる方は元ソースなどを参考に、この手の情報収集(RSS利用)をされる事をお勧めします。

※国内記事➡海外記事とチェックしているため、速報性を重視し、国内の注意喚起情報がまとまった時点で記事を暫定公開します。(海外記事チェックが終わりましたら、海外まとめのTBD部分を更新します)

 

■国内情報

【セキュリティ ニュース】「Array AG」狙う攻撃、関連する複数IPアドレスを公開 - IPA(1ページ目 / 全2ページ):Security NEXT

【セキュリティ ニュース】米当局、「ArrayOS AG」脆弱性など2件を悪用リストに追加(1ページ目 / 全1ページ):Security NEXT

【セキュリティ ニュース】Ruby向けSAML認証ライブラリに深刻な脆弱性 - 最新版へ更新を(1ページ目 / 全2ページ):Security NEXT

【セキュリティ ニュース】Synology製NASに複数脆弱性 - 情報漏洩やDoSのおそれ(1ページ目 / 全2ページ):Security NEXT

React Server Componentsにおける脆弱性について(CVE-2025-55182) | 情報セキュリティ | IPA 独立行政法人 情報処理推進機構

無料のグループウェア「GroupSession」に複数の脆弱性が ~情報詐取・改ざんなどの恐れ存在 - 窓の杜

JVN#33172708: エレコム製クローン for Windowsにおける引用符で囲まれていないファイルパスの脆弱性

JVNVU#99073323: MAXHUB製Pivotにおける脆弱なパスワードリカバリの脆弱性

 

■海外情報

CISA Adds Two Known Exploited Vulnerabilities to Catalog | CISA (CISAが2つの既知の脆弱性をカタログに追加)

CVE-2025-6218 RARLAB WinRAR パストラバーサル脆弱性
CVE-2025-62221 Microsoft Windows の解放後使用の脆弱性 

CISA Releases Three Industrial Control Systems Advisories | CISA (CISAが産業用制御システムに関する3つの勧告を発表)

ICSA-25-343-01ユニバーサル ブートローダー (U-Boot)  
ICSA-25-343-02 Festo LX アプライアンス
ICSA-25-343-03インドに設置された複数のCCTVカメラ 

Opportunistic Pro-Russia Hacktivists Attack US and Global Critical Infrastructure | CISA (親ロシア派ハクティビストが米国と世界の重要インフラを攻撃)

Gartner Calls For Pause on AI Browser Use - Infosecurity Magazine (ガートナー、AIブラウザの使用停止を呼びかけ)

Fortinet warns of critical FortiCloud SSO login auth bypass flaws (フォーティネット、FortiCloud SSOログイン認証バイパスの重大な欠陥について警告)

Ivanti warns of critical Endpoint Manager code execution flaw (Ivanti、エンドポイントマネージャーの重大なコード実行欠陥について警告)

Adobe Patches Nearly 140 Vulnerabilities - SecurityWeek (Adobe、約140件の脆弱性を修正)

Microsoft Patches 57 Vulnerabilities, Three Zero-Days - SecurityWeek (マイクロソフト、57件の脆弱性と3件のゼロデイ脆弱性を修正)

Patch Tuesday: Microsoft EoP, NotePad++, Ivanti, Fortinet • The Register (マイクロソフト、12月のパッチ火曜日に評価7.8のゼロデイ脆弱性を報告、さらに56件の脆弱性を報告)

Gemini Enterprise No-Click Flaw Exposes Sensitive Data (Gemini Enterpriseのクリック不要の脆弱性により機密データが漏洩)

Exploitation Efforts Against Critical React2Shell Flaw Accelerate - Security Boulevard (重大なReact2Shellの脆弱性に対する攻撃活動が加速)

SAP fixes three critical vulnerabilities across multiple products (SAP、複数の製品にわたる3つの重大な脆弱性を修正)

UK NCSC Raises Alarms Over Prompt Injection Attacks - Infosecurity Magazine (英国国立医療安全委員会、プロンプトインジェクション攻撃に警鐘を鳴らす)

Ivanti warns customers of new EPM flaw enabling remote code execution (Ivanti、リモートコード実行を可能にする新たなEPMの欠陥について顧客に警告)

 

■イエローページ(主な情報ソース)

JPCERTCC

フィッシング対策協議会

SecurityNext

ScanNetSecurity

マイナビニュース

CISA

FBI

HelpNetSecurity

BleepingComputer

 

本日もご来訪ありがとうございました。

Thank you for your visit. Let me know your thoughts in the comments.

 

更新履歴

  • 2025年12月10