GWで溜めてしまった...orz 900

• CVE-2025-4143(cloudflare/workers-mcp)
  • https://nvd.nist.gov/vuln/detail/CVE-2025-4143
  • 特定の状況下における資格情報窃取。
• CVE-2025-46337(ADOdb Library for PHP)
  • https://xaliom.blogspot.com/2025/05/from-sast-to-cve-2025-46337.html
  • https://github.com/ADOdb/ADOdb/security/advisories/GHSA-8x27-jwjr-8545
  • https://nvd.nist.gov/vuln/detail/CVE-2025-46337
  • https://securityonline.info/critical-sql-injection-vulnerability-found-in-adodb-php-library-cve-2025-46337-cvss-10-0/
  • PostgreSQLでpg_insert_id()呼び出し時にSQLi可能らしい。
• CVE-2025-4166(Vault Community and Vault Enterprise Key/Value (kv) Version 2 plugin)
  • https://discuss.hashicorp.com/t/hcsec-2025-09-vault-may-expose-sensitive-information-in-error-logs-when-processing-malformed-data-with-the-kv-v2-plugin/74717
  • https://nvd.nist.gov/vuln/detail/CVE-2025-4166
  • 機密漏えい。REST API経由で特定の操作をしようとした時にJSONを間違えるとシークレットがログに残ってしまうらしい。
• CVE-2025-3879(Vault Community/Vault Enterprise)
  • https://discuss.hashicorp.com/t/hcsec-2025-07-vault-s-azure-authentication-method-bound-location-restriction-could-be-bypassed-on-login/74716
  • https://nvd.nist.gov/vuln/detail/CVE-2025-3879
  • Azure認証方式においてbound_locations(オペレータが設定するログインの地理的制限パラメータ)がバイパスされる可能性があったらしい。
• CVE-2025-46332(Flags SDK)
  • https://nvd.nist.gov/vuln/detail/CVE-2025-46332
  • Next.jsなど向けのフラグツールキット。フラグツールキットが何か知らない。テストツールっぽい？情報漏洩。こんなのあるんだ枠。
• CVE-2025-0782(h2oai/h2o-3)
  • https://github.com/h2oai/h2o-3/commit/6740655b70cef40ec67d952bee2d23f7d33c7419
  • https://huntr.com/bounties/4587cec7-8bc5-48ab-8614-105d41c99151
  • https://nvd.nist.gov/vuln/detail/CVE-2025-0782
  • RCE。HTTP2関連の何かかと思ったら関係なさそうだった。分散型でスケーラブルな機械学習のためのインメモリプラットフォームらしい。
• CVE-2025-4215(gorhill uBlock Origin)
  • https://github.com/gorhill/uBlock/commit/eaedaf5b10d2f7857c6b77fbf7d4a80681d4d46c
  • https://nvd.nist.gov/vuln/detail/CVE-2025-4215
  • 正規表現によるサービス拒否 (ReDoS) の脆弱性があったらしい。
• CVE-2025-21572(Open Grok)
  • https://nvd.nist.gov/vuln/detail/CVE-2025-21572
  • XSS。趣味枠。
• CVE-2025-46723(OpenVM)
  • https://github.com/openvm-org/openvm/security/advisories/GHSA-jf2r-x3j4-23m7
  • https://nvd.nist.gov/vuln/detail/CVE-2025-46723
  • 趣味枠。toolsとは別物でいいのかな。
• CVE-2025-47268(ping in iputils)
  • https://github.com/iputils/iputils/pull/585
  • https://nvd.nist.gov/vuln/detail/CVE-2025-47268
  • DoS(アプリケーションエラー)。趣味枠。
• CVE-2025-4318(aws-amplify/amplify-codegen-ui)
  • https://aws.amazon.com/jp/security/security-bulletins/AWS-2025-010/
  • https://nvd.nist.gov/vuln/detail/CVE-2025-4318
  • コンポーネントの作成または変更権限を持つ認証済みユーザーが、コンポーネントのレンダリングおよびビルドプロセス中に任意のJavaScriptコードを実行できる可能性があるらしい。
• CVE-2025-46728(cpp-httplib)
  • https://github.com/yhirose/cpp-httplib/security/advisories/GHSA-px83-72rx-v57c
  • https://nvd.nist.gov/vuln/detail/CVE-2025-46728
  • DoS？っぽい。趣味枠。
• CVE-2025-46762(Apache Parquet)
  • https://lists.apache.org/thread/t7724lpvl110xsbgqwsmrdsns0rhycdp
  • https://nvd.nist.gov/vuln/detail/CVE-2025-46762
  • https://securityonline.info/cve-2025-46762-apache-parquet-java-flaw-allows-potential-rce-via-avro-schema/
  • コード実行。parquet-avroのクライアントコードがParquetファイルの読み取りに意図的に「specific」または「reflect」モデルを使用している場合のみ（「generic」モデルは影響を受けない）。
• CVE-2025-30165(vLLM)
  • https://github.com/vllm-project/vllm/security/advisories/GHSA-9pcc-gvx5-r5wm
  • https://nvd.nist.gov/vuln/detail/CVE-2025-30165
  • RCE。V0エンジンのみ(デフォルトで無効)。
• CVE-2025-22477(Dell Storage Center/Manager)
  • https://www.dell.com/support/kbdoc/en-us/000317318/dsa-2025-191-security-update-for-storage-center-dell-storage-manager-vulnerabilities
  • https://nvd.nist.gov/vuln/detail/CVE-2025-22477
  • 隣接ネットワークから権限昇格。
• CVE-2025-2774(Webmin)
  • https://www.zerodayinitiative.com/advisories/ZDI-25-282/
  • https://securityonline.info/cve-2025-2774-webmin-vulnerability-allows-root-level-privilege-escalation/
  • 権限昇格。要認証。
• CVE-2025-27363(Android)
  • https://source.android.com/docs/security/bulletin/2025-05-01?hl=ja
  • https://android.googlesource.com/platform/external/freetype/+/f9c146bda91f441b7bebac4387e46ae40caaf3b1
  • https://securityonline.info/android-security-bulletin-may-2025-multi-vulnerabilities-including-actively-exploited-cve-2025-27363/
• CVE-2025-3248(Langflow)
  • https://www.bleepingcomputer.com/news/security/critical-langflow-rce-flaw-exploited-to-hack-ai-app-servers/
  • RCE。4月の脆弱性。
• CVE-2025-26692(Quickエージェント)
  • https://siosapps.sios.jp/agent_info/20250425001.html
  • https://nvd.nist.gov/vuln/detail/CVE-2025-26692
  • コード実行。ちょい前の報告。リコープリンタのWindowsアプリ。
• CVE-2025-25014(Kibana)
  • https://discuss.elastic.co/t/kibana-8-17-6-8-18-1-or-9-0-1-security-update-esa-2025-07/377868
  • コード実行。条件あり。