昨日頑張って減らしたのに寝て起きたら600超えてた。かなしみ。 MicrosoftとAdobeとFortinet。

• CVE-2024-48887(FortiSwitch)
  • https://fortiguard.fortinet.com/psirt/FG-IR-24-435
  • https://securityonline.info/fortinet-critical-unverified-password-change-flaw-in-fortiswitch/
  • GUIに認証なしでリモートから管理者パスワードを変更可能らしい。アクセス制御ミスやうっかりGUI有効になってた時に侵害拡大に使われるかもという感じかな？FortiSwitchって人気なんじゃろか。Fortinet製品は他にもCVEいろいろあった。
• CVE-2025-25227(Joomla!)
  • https://developer.joomla.org/security-centre/964-20250402-core-mfa-authentication-bypass.html
  • MFAの認証バイパス。詳細不明。条件が難しかったりするのかImpactはHighだけどSeverityはModerate。
• CVE-2025-24446、CVE-2025-24447、CVE-2025-30281、CVE-2025-30282(Adobe ColdFusion)
  • https://helpx.adobe.com/security/products/coldfusion/apsb25-15.html
  • Adobe製品はとりあえずCVSSが9以上のCVEをピック。他の脆弱性はユーザコンテキストでコード実行されるなど多くあったが、ファイルを開くユーザ操作が必要としてCVSSは7.8とかに留まっていた。うーん。
• CVE-2024-55354(Lucee)
  • https://dev.lucee.org/t/lucee-cve-2024-55354-security-advisory-april-2025/14963
  • こんなのあるんだ枠。
• CVE-2025-22871(Go net/http)
  • https://github.com/golang/go/issues/71988
  • https://pkg.go.dev/vuln/GO-2025-3563
  • https://nvd.nist.gov/vuln/detail/CVE-2025-22871
  • Request Smugglingができるらしい。Apache Traffic Serverかなんかにも最近あった気がする。
• CVE-2024-12556(Kibana)
  • https://nvd.nist.gov/vuln/detail/CVE-2024-12556
  • https://discuss.elastic.co/t/kibana-8-16-4-and-8-17-2-security-update-esa-2025-02/376918
  • 2月に修正済みのCVEに関する情報開示っぽい。
• CVE-2025-32018(Cursor)
  • https://nvd.nist.gov/vuln/detail/CVE-2025-32018
  • https://github.com/getcursor/cursor/security/advisories/GHSA-qjh8-mh96-fc86
  • ワークスペース外のファイルに書き込み要求される可能性があるとか。意図的なプロンプトが必要で悪用は非現実的らしい。趣味枠。
• CVE-2025-3413(Spring Boot Admin)
  • https://nvd.nist.gov/vuln/detail/CVE-2025-3413
  • こんなのあるんだ枠。似た感じのソフトウェア(Spring Boot Ucan Admin)もCVE-2025-3393があった。
• CVE-2025-22458(Ivanti Endpoint Manager)
  • https://nvd.nist.gov/vuln/detail/CVE-2025-22458
  • DLLハイジャックによる権限昇格。
• CVE-2025-32414(libxml2)
  • https://nvd.nist.gov/vuln/detail/CVE-2025-32414
  • https://gitlab.gnome.org/GNOME/libxml2/-/issues/889
  • 趣味枠。Python APIからテキストを解析すると無効なメモリアクセスが発生してクラッシュする、らしい。
• CVE-2025-3155(Yelp)
  • https://securityonline.info/poc-released-for-cve-2025-3155-yelp-flaw-can-expose-ssh-keys-on-ubuntu-systems/
  • 趣味枠。何日か前によくわかんねーなって言った記憶があったので詳細わかってすっきり。
• CVE-2025-30401(WhatsApp for Windows)
  • https://securityonline.info/whatsapp-for-windows-spoofing-vulnerability-execute-code-risk-cve-2025-30401/
  • https://www.bleepingcomputer.com/news/security/whatsapp-flaw-can-let-attackers-run-malicious-code-on-windows-pcs/
  • 何日か前の。WhatsAppが何かよくわからんかったが、プライバシー・セキュリティにより配慮したメッセージアプリらしい。こっち使った方がいいんじゃろか。Messengerもほぼ使ってないけども。
• CVE-2025-27520(BentoML)
  • https://securityonline.info/cve-2025-27520-critical-bentoml-flaw-allows-full-remote-code-execution-exploit-available/
  • https://github.com/bentoml/BentoML/security/advisories/GHSA-33xw-247w-6hmc
  • PythonのAI系ライブラリらしい。RCEとのこと。