329
- CVE-2025-47709(Drupal Enterprise MFA)
- https://www.drupal.org/sa-contrib-2025-055
- 趣味枠。TFA設定の表示・変更が可能らしい。他にもいくつか。
- CVE-2025-24977(OpenCTI)
- https://securityonline.info/cve-2025-24977-critical-rce-flaw-in-opencti-platform-exposes-infrastructure-to-root-level-attacks/
- https://nvd.nist.gov/vuln/detail/CVE-2025-24977
- RCE。Cyber Threat Inteligenceプラットフォームらしい。前も調べた気がする。権限が必要。
- CVE-2025-47241(Browser Use)
- https://securityonline.info/cve-2025-47241-critical-whitelist-bypass-in-browser-use-exposes-internal-services/
- https://nvd.nist.gov/vuln/detail/CVE-2025-47241
- https://github.com/browser-use/browser-use/security/advisories/GHSA-x39x-9qw5-ghrf
- ドメインホワイトリストのバイパス。AIエージェントにブラウザ操作させるpipライブラリらしい。こんなのあるんだ枠。
- CVE-2025-46728(cpp-httplib)
- CVE-2025-46816(goshs)
- https://nvd.nist.gov/vuln/detail/CVE-2025-46816
- https://github.com/patrickhener/goshs/security/advisories/GHSA-rwj2-w85g-5cmm
- RCE。Go Simple HTTP Server。開発時のテストなどの用途だとは思うがなかなか。
- CVE-2024-12225(quarkus-security-webauthn)
- https://nvd.nist.gov/vuln/detail/CVE-2024-12225
- Cookieの漏えいによる不正ログイン。なりすます対象のユーザ名が必要。Quarkusはkubernetesでのデプロイメント向けに調整されたJavaフレームワークでWebAuthNはパスワードを置き換えるために設計された認証メカニズムらしい。
- CVE-2025-20979(Android libsavscmn)
- CVE-2024-47619(syslog-ng)
- https://nvd.nist.gov/vuln/detail/CVE-2024-47619
- tls_wildcard_match()の不適切な一致によりMITMなどの可能性があるらしい。
- CVE-2025-46827(Graylog)
- https://nvd.nist.gov/vuln/detail/CVE-2025-46827
- Cookieの取得が可能らしい。特定の権限が必要。こんなのあるんだ枠。
- CVE-2025-46551(JRuby-OpenSSL)
- CVE-2025-46727(Rack)
- CVE-2025-20188(Cisco IOS XE WLC)
- https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-wlc-file-uplpd-rHZG9UfC
- https://www.security-next.com/170069
- ハードコードされたJSON Web Tokenが存在することによりファイルアップロード、パストラバーサル、コマンド実行が可能、らしい。デフォルトで無効の機能が有効化されている必要あり。