339 QNAPが賑わってた。

1. CVE-2025-40927｜Perl CGI::Simple
   • https://nvd.nist.gov/vuln/detail/CVE-2025-40927
   • HTTP Response Splitting。関連情報が古かったりで状況がいまいちよくわからない。
2. CVE-2025-47909｜Go gorilla/csrf
   • https://pkg.go.dev/vuln/GO-2025-3884
   • https://nvd.nist.gov/vuln/detail/CVE-2025-47909
   • CSRFが可能らしい。net/http.CrossOriginProtectionsが追加されたので移行してねということらしい。
3. CVE-2025-57822｜Next.js
   • https://vercel.com/changelog/cve-2025-57822
   • https://nvd.nist.gov/vuln/detail/CVE-2025-57822
   • SSRF。next()関数の使い方による模様。
4. CVE-2025-55177｜WhatsApp
   • https://www.whatsapp.com/security/advisories/2025/?_fb_noscript=1
   • https://nvd.nist.gov/vuln/detail/CVE-2025-55177
   • リンクされたデバイスとの同期メッセージの認証が不完全であったため、無関係のユーザーが標的のデバイス上で任意のURLからのコンテンツ処理をトリガーできる可能性があった、らしい。OSの脆弱性との組み合わせで攻撃があった可能性があるとかなんとか。
5. CVE-2025-54142｜Akamai Ghost
   • https://www.akamai.com/blog/security-research/advisory-cve-2025-54142-http-request-smuggling-via-options-body
   • https://nvd.nist.gov/vuln/detail/CVE-2025-54142
   • Request Smuggling。
6. CVE-2025-30264｜QTS/QuTS hero
   • https://www.qnap.com/ja-jp/security-advisory/qsa-25-21
   • https://nvd.nist.gov/vuln/detail/CVE-2025-30264
   • コマンド インジェクション。
7. CVE-2024-13987｜Synology RADIUS Server
   • https://www.synology.com/en-global/security/advisory/Synology_SA_25_10
   • https://nvd.nist.gov/vuln/detail/CVE-2024-13987
   • XSSにより限定されたファイルの読み書きや限定的なDoSができるらしい。管理者権限が必要。管理者なら読み書きできてよさそうな気もするが。