Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。

本日気になった注意喚起情報(1/7)

注意喚起情報

当方は忙しくない時は平日朝に、セキュリティ/AI関連の記事を巡回チェックしていますが、目についた注意喚起系の記事・情報を可能な範囲でまとめて配信します。人力&片手間でやっているので、類似記事などの重複や情報精度等々のクレームはご容赦ください。

※平日朝に記事をチェックしている関係上、前日まで(月曜日は週末)の注意喚起情報が拾われる事が多いかと思います。速報性を求められる方は元ソースなどを参考に、この手の情報収集(RSS利用)をされる事をお勧めします。

※国内記事➡海外記事とチェックしているため、速報性を重視し、国内の注意喚起情報がまとまった時点で記事を暫定公開します。(海外記事チェックが終わりましたら、海外まとめのTBD部分を更新します)

 

■国内情報

5年半放置されたFortinetの脆弱性が悪用進行中 1万台以上のFWがパッチ未適用:セキュリティニュースアラート - ITmedia エンタープライズ

【セキュリティ ニュース】「net-snmp」のトラップ処理に深刻な脆弱性 - 細工パケットでクラッシュのおそれ(1ページ目 / 全1ページ):Security NEXT

【セキュリティ ニュース】Node.js環境向けPDF生成ライブラリに脆弱性 - 情報漏洩のおそれ(1ページ目 / 全1ページ):Security NEXT

Windowsのブルースクリーンを悪用して配布されるマルウェアに注意 | TECH+(テックプラス)

【セキュリティ ニュース】SUSE「Harvester」インストーラに脆弱性 - 初期PWでSSH接続可能(1ページ目 / 全1ページ):Security NEXT

【セキュリティ ニュース】分散ストレージ「RustFS」に認証回避の深刻な脆弱性(1ページ目 / 全1ページ):Security NEXT

JVNVU#97172240: OpenBlocksシリーズにおける認証回避の脆弱性

 

■海外情報

Critical Dolby Vulnerability Patched in Android - SecurityWeek (Android で重大なドルビーの脆弱性が修正されました)

Unpatched Firmware Flaw Exposes TOTOLINK EX200 to Full Remote Device Takeover (パッチ未適用のファームウェアの欠陥により、TOTOLINK EX200 がリモートデバイスを完全に乗っ取られる危険性)

New n8n Vulnerability (9.9 CVSS) Lets Authenticated Users Execute System Commands (新たなn8nの脆弱性(9.9 CVSS)により、認証されたユーザーがシステムコマンドを実行可能になる)

Critical AdonisJS Bodyparser Flaw (CVSS 9.2) Enables Arbitrary File Write on Servers (重大なAdonisJSボディパーサーの欠陥(CVSS 9.2)により、サーバー上で任意のファイル書き込みが可能になる)

RondoDox Botnet Operators Set React2Shell Flaw in Their Sights - Security Boulevard (RondoDoxボットネット運営者がReact2Shellの脆弱性を狙う)

New D-Link flaw in legacy DSL routers actively exploited in attacks (従来のDSLルーターに新たにD-Linkの脆弱性が出現、攻撃に悪用される)

High-Severity Flaw in Open WebUI Affects AI Connections - Infosecurity Magazine (オープンWebUIの重大な欠陥がAI接続に影響)

CERT/CC warns of critical, unfixed vulnerability in TOTOLINK EX200 (CERT/CCがTOTOLINK EX200の重大な未修正の脆弱性について警告)

Google fixes critical Dolby Decoder bug in Android January update (GoogleAndroid 1月アップデートで重大なドルビーデコーダーのバグを修正)

CVE-2025-68428: Critical Flaw in jsPDF Library Allows Server-Side File Theft (CVE-2025-68428: jsPDFライブラリの重大な欠陥により、サーバー側でファイルの盗難が可能になる)

Aiohttp Patches Seven Vulnerabilities Including High-Severity DoS Risks (Aiohttp、高深刻度のDoSリスクを含む7つの脆弱性を修正)

Apache SIS Patch Blocks XML Attack That Leaks Server Files (Apache SISパッチはサーバーファイルを漏洩させるXML攻撃をブロックします)

 

■イエローページ(主な情報ソース)

JPCERTCC

フィッシング対策協議会

SecurityNext

ScanNetSecurity

マイナビニュース

CISA

FBI

HelpNetSecurity

BleepingComputer

 

本日もご来訪ありがとうございました。

Thank you for your visit. Let me know your thoughts in the comments.

 

更新履歴

  • 2026年1月7