656 Apple、11/3にきてた。11/5ので気づいた。

1. CVE-2025-48983｜Veeam Backup & Replication
   • https://www.veeam.com/kb4771
   • https://nvd.nist.gov/vuln/detail/CVE-2025-48983
   • RCE。要認証。
2. CVE-2025-12725｜Chrome
   • https://chromereleases.googleblog.com/2025/11/stable-channel-update-for-desktop.html
   • https://www.security-next.com/176761
   • WebGPUのout of bounds write。
3. CVE-2025-31133｜runc
   • https://github.com/opencontainers/runc/security/advisories/GHSA-9493-h29p-rfm2
   • https://aws.amazon.com/jp/security/security-bulletins/rss/aws-2025-024/
   • 情報漏洩など。マウントまわり。
4. CVE-2025-20354｜Cisco Unified Contact Center Express
   • https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-cc-unauth-rce-QeN8h7mQ
   • https://nvd.nist.gov/vuln/detail/CVE-2025-20354
   • RCE。認証不要。認証バイパスとしてCVE-2025-20358も。
5. CVE-2025-62161 ｜Youki
   • https://nvd.nist.gov/vuln/detail/CVE-2025-62161
   • Rust製コンテナランタイム。runcのCVEと内容は同じっぽい？
6. CVE-2025-64106｜Cursor
   • https://github.com/cursor/cursor/security/advisories/GHSA-4575-fh42-7848
   • https://nvd.nist.gov/vuln/detail/CVE-2025-64106
   • コマンド実行。CursorのMCPサーバインストールにおける入力検証の脆弱性によりセキュリティ警告を回避できるらしい。
7. CVE-2025-12642｜lighttpd
   • https://nvd.nist.gov/vuln/detail/CVE-2025-12642
   • Request smaggling。
8. CVE-2025-48703｜Control Web Panel
   • https://fenrisk.com/rce-centos-webpanel
   • https://nvd.nist.gov/vuln/detail/CVE-2025-48703
   • https://www.cisecurity.org/advisory/a-vulnerability-in-cwp-aka-control-web-panel-or-centos-web-panel-could-allow-for-remote-code-execution_2025-100
   • RCE。認証不要だけどユーザ名は必要らしい。6月の脆弱性だけどKEVに載って確認したら国内に意外とある模様。ただしホスティングサービスのホストが多いので企業利用っぽくはない気はする。
9. CVE-2025-11953｜
   • https://jfrog.com/blog/cve-2025-11953-critical-react-native-community-cli-vulnerability/
   • https://nvd.nist.gov/vuln/detail/CVE-2025-11953
   • https://www.security-next.com/176743
   • RCE。CLIで起動したサーバがデフォルトで外部インターフェースにバウンドされるらしい。