Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。

本日気になった注意喚起情報(12/15)

注意喚起情報

当方は忙しくない時は平日朝に、セキュリティ/AI関連の記事を巡回チェックしていますが、目についた注意喚起系の記事・情報を可能な範囲でまとめて配信します。人力&片手間でやっているので、類似記事などの重複や情報精度等々のクレームはご容赦ください。

※平日朝に記事をチェックしている関係上、前日まで(月曜日は週末)の注意喚起情報が拾われる事が多いかと思います。速報性を求められる方は元ソースなどを参考に、この手の情報収集(RSS利用)をされる事をお勧めします。

※国内記事➡海外記事とチェックしているため、速報性を重視し、国内の注意喚起情報がまとまった時点で記事を暫定公開します。(海外記事チェックが終わりましたら、海外まとめのTBD部分を更新します)

 

■国内情報

【セキュリティ ニュース】「React」が脆弱性3件を追加修正 - 重大脆弱性の余波に引き続き警戒を(1ページ目 / 全2ページ):Security NEXT

Adobe Acrobat および Reader に脆弱性、セキュリティ更新プログラムの適用を呼びかけ | ScanNetSecurity

メルカリ、身分証の画像を狙う新たなフィッシング詐欺を確認 ユーザーに注意喚起 - ITmedia NEWS

警視庁の「デジポリス」装う偽アプリに注意 捜査名目でダウンロードさせる詐欺手口 - ITmedia NEWS

Google Chromeに重大な脆弱性、直ちにアップデートを | TECH+(テックプラス)

海上船舶を狙うサイバー攻撃に注意、衛星通信に影響の可能性も | TECH+(テックプラス)

【セキュリティ ニュース】「pgAdmin4」リストア処理にRCE脆弱性 - 2カ月連続で判明(1ページ目 / 全1ページ):Security NEXT

【セキュリティ ニュース】地理情報サーバ「GeoServer」の脆弱性悪用に注意喚起 - 米当局(1ページ目 / 全1ページ):Security NEXT

【セキュリティ ニュース】「MS Edge」にアップデート - 「Chromium」のゼロデイ脆弱性に対処(1ページ目 / 全1ページ):Security NEXT

【セキュリティ ニュース】オンライン会議ソフト「Zoom Rooms」に脆弱性 - 最新版で修正済み(1ページ目 / 全1ページ):Security NEXT

エレコム製クローン for Windows に引用符で囲まれていないファイルパスの脆弱性 | ScanNetSecurity

React Server Components に信頼できないデータをデシリアライズする脆弱性 | ScanNetSecurity

GSユアサ製 FULLBACK Manager Pro に引用符で囲まれていないファイルパスの脆弱性 | ScanNetSecurity

JVNVU#99514792: Siemens製品に対するアップデート(2025年12月)

JVNVU#96960925: 複数のGrassroots製品における境界外書き込みの脆弱性

JVNVU#91387382: OpenPLC_V3におけるクロスサイトリクエストフォージェリの脆弱性

JVNVU#91654258: AzeoTech製DAQFactoryにおける複数の脆弱性

 

■海外情報

CISA Adds One Known Exploited Vulnerability to Catalog | CISA (CISAが既知の脆弱性1件をカタログに追加)

CVE-2018-4063 Sierra Wireless AirLink ALEOS における危険な種類のファイルの無制限アップロードの脆弱性 

CISA Adds One Known Exploited Vulnerability to Catalog | CISA (CISAが既知の脆弱性1件をカタログに追加)

CVE-2025-14174 Google Chromium の境界外メモリアクセスの脆弱性

Three New React Vulnerabilities Surface on the Heels of React2Shell - Security Boulevard (React2Shellに続いてReactの3つの新たな脆弱性が発見される)

React Fixes Two New RSC Flaws as Security Teams Deal with React2Shell - Security Boulevard (Reactが2つの新たなRSCの欠陥を修正、セキュリティチームがReact2Shellに対応)

CISA Flags Actively Exploited GeoServer XXE Flaw in Updated KEV Catalog (CISA、KEVカタログ更新版でGeoServer XXEの脆弱性を積極的に悪用していると警告)

React2Shell Exploitation Escalates into Large-Scale Global Attacks, Forcing Emergency Mitigation (React2Shellの悪用が大規模な世界規模の攻撃にエスカレート、緊急対策を迫られる)

CISA Adds Actively Exploited Sierra Wireless Router Flaw Enabling RCE Attacks (CISASierra無線ルーターのRCE攻撃を可能にする脆弱性を積極的に悪用する脆弱性を追加)

Apple Issues Security Updates After Two WebKit Flaws Found Exploited in the Wild (AppleWebKit脆弱性2件が悪用されるのを阻止するためセキュリティアップデートをリリース)

Notepad++ Patches Updater Flaw After Reports of Traffic Hijacking - SecurityWeek (Notepad++、トラフィックハイジャックの報告を受けてアップデーターの欠陥を修正)

New React RSC Vulnerabilities Enable DoS and Source Code Exposure (React RSCの新たな脆弱性によりDoS攻撃ソースコードの露出が可能に)

New React vulns leak secrets, invite DoS attacks • The Register (Reactの新たな脆弱性により機密情報が漏洩し、DoS攻撃を招く)

Microsoft RasMan 0-day gets an unofficial patch and exploit • The Register (Microsoft の RasMan DoS ゼロデイ脆弱性に非公式パッチと有効なエクスプロイトが公開)

CISA orders feds to patch actively exploited Geoserver flaw (CISA連邦政府にGeoserverの脆弱性を積極的に悪用するパッチを配布するよう命令)

New Windows RasMan zero-day flaw gets free, unofficial patches (Windows の新たな RasMan ゼロデイ脆弱性に無料の非公式パッチが公開)

Apple fixes two zero-day flaws exploited in 'sophisticated' attacks (Apple、「高度な」攻撃で悪用された2つのゼロデイ脆弱性を修正)

 

■イエローページ(主な情報ソース)

JPCERTCC

フィッシング対策協議会

SecurityNext

ScanNetSecurity

マイナビニュース

CISA

FBI

HelpNetSecurity

BleepingComputer

 

本日もご来訪ありがとうございました。

Thank you for your visit. Let me know your thoughts in the comments.

 

更新履歴

  • 2025年12月15