情報収集 20250403

879+

CVE-2025-30223(Beego)
- https://www.security-next.com/168779
- https://github.com/beego/beego/security/advisories/GHSA-2j42-h78h-q4fg
- Go言語のWeb Application Framework。Go人気だけどWeb系だとさすがにあんまりなんだろうか。
CVE-2025-31722(Jenkins)
- https://www.jenkins.io/security/advisory/2025-04-02/
- 複数あり。サンドボックスを回避してコード実行が可能。特定の権限が必要。
CVE-2025-31479(canonical/get-workflow-version-action)
- https://nvd.nist.gov/vuln/detail/CVE-2025-31479
- https://github.com/canonical/get-workflow-version-action/security/advisories/GHSA-26wh-cc3r-w6pj
- ステップ失敗時に例外出力にtokenが含まれる場合があるらしい。
CVE-2025-30218(Next.js)
- https://vercel.com/changelog/cve-2025-30218-5DREmEH765PoeAsrNNQj3O
- middlewareの件で調査してたら他の問題が見つかったらしい。影響は低め。
CVE-2025-2704(OpenVPN)
- https://nvd.nist.gov/vuln/detail/CVE-2025-2704
- TLS-crypt-v2のサーバモードでDoS。
CVE-2025-20212(Cisco AnyConnect VPN Server)
CVE-2025-27556(Django)
- https://nvd.nist.gov/vuln/detail/CVE-2025-27556
- https://docs.djangoproject.com/en/dev/releases/security/
- https://www.djangoproject.com/weblog/2025/apr/02/security-releases/
- Windows限定のDoSっぽい。
CVE-2025-30356(CryptoLib)
- https://nvd.nist.gov/vuln/detail/CVE-2025-30356
- https://github.com/nasa/CryptoLib/security/advisories/GHSA-6w2x-w7w3-85w2
- こんなのあるんだ枠。
CVE-2025-31137(React Router)
- https://nvd.nist.gov/vuln/detail/CVE-2025-31137
- こんなのあるんだ枠。
CVE-2025-28132(Nagios)
- https://nvd.nist.gov/vuln/detail/CVE-2025-28132
- ログアウトしたユーザのセッショントークンを再利用できるらしい。不味そうだけどさすがにアクセス制御である程度保護している環境が多いとは思う。
CVE-2025-22231(VMware Aria Operations)
- https://nvd.nist.gov/vuln/detail/CVE-2025-22231
- あんまり使われてるイメージない。権限昇格。
CVE-2025-3085(MongoDB)
- https://nvd.nist.gov/vuln/detail/CVE-2025-3085
- https://jira.mongodb.org/browse/SERVER-95445
- 証明書に関する認証回避？特定の条件あり。
CVE-2025-30177(Apache Camel)
- https://nvd.nist.gov/vuln/detail/CVE-2025-30177
- 条件あり。

links

social