Microsoftの日。 319
- CVE-2025-30663|Zoom Workplace Apps
- https://www.zoom.com/en/trust/security-bulletin/zsb-25016/
- ローカルの権限昇格。認証されたユーザのみ。
- CVE-2025-3757|OpenPubKey
- https://github.com/openpubkey/openpubkey/security/advisories/GHSA-537f-gxgm-3jjq
- https://nvd.nist.gov/vuln/detail/CVE-2025-3757
- 署名検証をバイパスできるらしい。デジタルアイデンティティや認証に関連する技術で、主にWeb3や分散型アプリケーション(dApps)において、公開鍵暗号を用いた新しいID管理の方法として注目されている。らしい。
- CVE-2025-4658|OPKSSH
- https://github.com/openpubkey/opkssh/security/advisories/GHSA-56wx-66px-9j66
- https://nvd.nist.gov/vuln/detail/CVE-2025-4658
- OpenPubKeyに依存しているため影響を受けるとのこと。
- CVE-2025-22252|FortiOS,FortiProxy,FortiSwitchManager
- https://fortiguard.fortinet.com/psirt/FG-IR-24-472
- TACACS+の認証不備により、既存の管理者アカウントを知っている攻撃者が認証バイパスを介して有効な管理者としてデバイスにアクセスできる可能性があるとのこと。ASCII認証が使用される構成に限定。
- CVE-2025-32756|FortiVoice,FortiMail,FortiNDR,FortiRecorder,FortiCamera
- https://fortiguard.fortinet.com/psirt/FG-IR-25-254
- スタックベースのオーバーフローによりRCEの可能性があるらしい。FortiVoiceに悪用実績ありとのこと。
- CVE-2025-25251|FortiClient Mac
- https://fortiguard.fortinet.com/psirt/FG-IR-25-016
- XPCメッセージを介したローカルの権限昇格。
- CVE-2025-3744|Nomad Enterprise
- https://discuss.hashicorp.com/t/hcsec-2025-08-nomad-enterprise-vulnerable-to-violation-of-mandatory-sentinel-policies-in-job-submissions-via-policy-override/74935
- ジョブがポリシーをバイパスできるらしい。製品がいまいち掴めてない。OSS版もあるっぽいが、影響を受けないのかOSS版だから含めてないのか不明。
- CVE-2024-36339|AMD Optimizing CPU Libraries(AOCL)
- https://www.amd.com/en/resources/product-security/bulletin/amd-sb-9014.html
- https://nvd.nist.gov/vuln/detail/CVE-2024-36339
- DLLハイジャックによる権限昇格・コード実行。AMD「Zen」コアアーキテクチャおよび各世代をベースにしたAMDプロセッサ向けに最適化された数値計算ライブラリのセットらしい。
- CVE-2025-46721|nosurf
- https://github.com/justinas/nosurf/security/advisories/GHSA-w9hf-35q4-vcjw
- https://nvd.nist.gov/vuln/detail/CVE-2025-46721
- GoのCSRF対策パッケージで、ミドルウェアのように動作するらしい。が、CSRFのチェックを回避されるらしい。趣味枠。
- CVE-2025-22248|bitnami/pgpool,bitnami/postgres-ha
- https://github.com/bitnami/charts/security/advisories/GHSA-mx38-x658-5fwj
- https://nvd.nist.gov/vuln/detail/CVE-2025-22248
- デフォルト設定にDBへアクセスできるユーザが設定されている?らしい。
- CVE-2025-4632|Sumusung MagicINFO 9 Server
- https://security.samsungtv.com/securityUpdates#SVP-MAY-2025
- https://nvd.nist.gov/vuln/detail/CVE-2025-4632
- システム権限で任意ファイルの書き込みができるらしい。基本スコアは高いけど実現性は低いのかな?デジタルサイネージ管理システムらしい。
- CVE-2025-43567|Adobe Connect
- CVE-2025-43560|ColdFusion
- CVE-2025-47905|Varnish Cache
- CVE-2025-31258|Mac OS
- CVE-2025-31324,CVE-2025-42999|SAP NetWeaver