土日もやれと...あれほど...なんかNVDに変なの多いな... 398
- CVE-2024-50684(Sungrow)
- https://jvn.jp/vu/JVNVU94142821/
- 多数のCVEが報告されていたのでCVEはページの最初に記載されていたもの。何の製品か気になったので調べたら発電・蓄電システムらしい。
- CVE-2025-30074(Alludo Parallels Desktop)
- https://nvd.nist.gov/vuln/detail/CVE-2025-30074
- Intel Macで権限昇格可能らしい。
- CVE-2022-49737(X.Org X server)
- https://nvd.nist.gov/vuln/detail/CVE-2022-49737
- 内容よくわからんけどXだったんで目についた、だけ。
- CVE-2025-2321(springboot-openai-chatgpt)
- https://nvd.nist.gov/vuln/detail/CVE-2025-2321
- 複数報告あり。ビジネスロジックエラーとしか記載がないので何ができるのかいまいち不明。リモートからできてPoCも公開されているらしい。
- CVE-2025-2025(WordPress GiveWP Plugin)
- CVE-2025-2325(WP Test Email)
- https://nvd.nist.gov/vuln/detail/CVE-2025-2325
- ログ経由のXSSができるらしい。
- CVE-2025-29774(xml-crypto)
- https://nvd.nist.gov/vuln/detail/CVE-2025-29774
- Node.jsの暗号化ライブラリ。権限昇格とのこと。
- CVE-2024-11283(WordPress WP JobHunt Plugin)
- https://nvd.nist.gov/vuln/detail/CVE-2024-11283
- 複数報告あり。あんまり利用が多そうということもないが、危険度は高そう。
- CVE-2025-30066(tj-actions/changed-files)
- https://securityonline.info/popular-github-action-tj-actions-changed-files-compromised-cve-2025-30066/
- 変更されたファイルやディレクトリを取得する公開GitHub Actionsが侵害され、シークレットの漏洩につながるようなコード改竄がされた?っぽい。
- CVE-2025-1550(Keras)
- https://securityonline.info/keras-deep-learning-framework-hit-by-arbitrary-code-execution-vulnerability-cve-2025-1550/
- Pythonのディープラーニングフレームワークらしい。アーカイブ経由とあるのでむやみに拾ったものを読み込まないようにしましょう系かな?