気になるの多いな...?土日でやるとだらっとやって時間かかるしどれも気になるし、あんまりよくないのかもしれない。でも月曜まで溜めるのもなぁ。悩ましい。 280
- CVE-2025-30168(Parse Server)
- https://nvd.nist.gov/vuln/detail/CVE-2025-30168
- https://docs.parseplatform.org/parse-server/guide/#oauth-and-3rd-party-authentication
- https://github.com/parse-community/parse-server/security/advisories/GHSA-837q-jhwx-cmpv
- Node.jsのOSSなバックエンドらしい。よくわからん。3rd partyの認証処理で特定の認証資格を複数のアプリで使えるとのこと。よくわからん。こんなソフトウェアあるんだ枠。
- CVE-2025-2598(AWS CDK CLI)
- https://nvd.nist.gov/vuln/detail/CVE-2025-2598
- https://aws.amazon.com/jp/security/security-bulletins/AWS-2025-005/
- https://github.com/aws/aws-cdk/security/advisories/GHSA-v63m-x9r9-8gqp
- 特定の使い方で特定のプラグインを使った時にコンソールに余計な情報を出力してしまう?らしい。AWSやらんとなぁ...
- CVE-2025-1945(Matthieu Maitre Picklescan)
- https://jvndb.jvn.jp/ja/contents/2025/JVNDB-2025-002474.html
- https://sites.google.com/sonatype.com/vulnerabilities/cve-2025-1945
- https://github.com/mmaitre314/picklescan/security/advisories/GHSA-w8jq-xcqf-f792
- pickleはpythonオブジェクトをそのまま保存した形式らしい。で、piclescanはpickleファイルが不審か判定するスキャンライブラリと。で、この脆弱性使うと検知回避したりコード実行したりできるっぽい。ほーん。
- CVE-2025-30204(golang-jwt)
- https://nvd.nist.gov/vuln/detail/CVE-2025-30204
- https://github.com/golang-jwt/jwt/security/advisories/GHSA-mh63-6h87-95cp
- Authorizationヘッダに細工するとメモリを過剰消費させられるらしい。
- CVE-2025-29927(Next.js)
- CVE-2025-27612(libcontainer)
- https://nvd.nist.gov/vuln/detail/CVE-2025-27612
- 権限昇格の可能性があるらしいが条件付きっぽい。脆弱性よりコンテナランタイムっていっぱいあるんだなーということの方が印象に残った。
- CVE-2025-24915(Nessus Agent)
- https://nvd.nist.gov/vuln/detail/CVE-2025-24915
- https://www.tenable.com/security/tns-2025-02
- Windowsでデフォルト以外の場所にインストールするとローカル権限昇格の可能性があるらしい。
- CVE-2025-30346(Varnish Cache)
- https://nvd.nist.gov/vuln/detail/CVE-2025-30346
- https://varnish-cache.org/security/VSV00015.html
- 特定の状況下で本脆弱性の悪用によりキャッシュポイズニングや構成によってはWAFのバイパスなどの可能性があるらしい。
- CVE-2025-30347(Varnish Enterprise)
- https://nvd.nist.gov/vuln/detail/CVE-2025-30347
- https://docs.varnish-software.com/security/VEV00001/
- MSE4を使用しているとオーバーフローでメモリ情報が漏洩する可能性があるらしい。ただし特定の情報を狙って漏洩させたりは難しい模様。なんかHeartBleedっぽい印象を受けた。
- CVE-2025-26336(Dell Chassis Management Controller Firmware)
- CVE-2025-22228(Spring)
- https://securityonline.info/spring-security-updates-address-authorization-bypass-and-password-length-vulnerabilities/
- https://spring.io/security/cve-2025-22228/
- 72文字...?CVE-2025-22223も認証バイパスだけど条件付きらしい。
- CVE-2025-2505(Age Gate WordPress Plugin)
- https://securityonline.info/critical-wordpress-plugin-vulnerability-exposes-over-40000-websites-to-code-execution-attacks/
- https://www.wordfence.com/threat-intel/vulnerabilities/wordpress-plugins/age-gate/age-gate-353-unauthenticated-local-php-file-inclusion-via-lang
- 年齢制限をかけるプラグインらしい。ちらちら日本語の紹介記事もある模様。Local File Includeなので基本は情報漏洩、ファイルアップロードの機能があればRCEまでいける感じ。