だいぶ溜めてしまった...orz 気を取り直して再開。

1. CVE-2025-13392｜Synology DSM
   • https://www.synology.com/en-global/security/advisory/Synology_SA_25_14
   • 認証回避。
2. CVE-2025-20379｜Splunk Enterprise
   • https://advisory.splunk.com/advisories/SVD-2025-1102
   • https://nvd.nist.gov/vuln/detail/CVE-2025-20379
   • 低権限ユーザが高権限ユーザの権限を使用して危険なコマンドを含む保存済み検索を実行しセーフガードを回避できる。らしい。
3. CVE-2025-41115｜Grafana
   • https://grafana.com/blog/2025/11/19/grafana-enterprise-security-update-critical-severity-security-fix-for-cve-2025-41115/
   • なりすましや権限昇格。条件あり。SCIM有効時。
4. CVE-2025-20341｜Cisco Catalyst Center Virtual Appliance
   • https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-catc-priv-esc-VS8EeCuX
   • 権限昇格。要認証。
5. CVE-2025-13524｜AWS Wickr desktop client
   • https://aws.amazon.com/jp/security/security-bulletins/rss/aws-2025-029/
   • 通話ウィンドウを閉じた後もユーザーの音声ストリームが開いたままになることがあるらしい。
6. CVE-2025-12852｜NEC らくらく無線スタートEX for Windows
   • https://jvn.jp/jp/JVN50288352/
   • DLL読み込み。そもそも古いWindowsのみ対象のツール。
7. CVE-2025-64310｜セイコーエプソン製プロジェクター EPSON WebConfig/Epson Web Control
   • https://www.epson.jp/support/misc_t/251120_oshirase.htm
   • 認証の回数制限がなくブルートフォース可能らしい。
8. CVE-2025-13223｜Chrome
   • https://chromereleases.googleblog.com/2025/11/stable-channel-update-for-desktop_17.html
   • Type Confusion。
9. CVE-2025-11224｜GitLab
   • https://about.gitlab.com/releases/2025/11/12/patch-release-gitlab-18-5-2-released/
   • XSS。k8s proxy機能に起因。要認証。
10. CVE-2025-64446｜FortiWeb
    • https://fortiguard.fortinet.com/psirt/FG-IR-25-910
    • https://www.security-next.com/177184
    • パストラバーサルによるRCE。実績あり。認証不要。
11. CVE-2025-58034｜FortiWeb
    • https://www.fortiguard.com/psirt/FG-IR-25-513
    • コマンドインジェクション。実績あり。要認証。
12. CVE-2025-11001｜7-Zip
    • https://nvd.nist.gov/vuln/detail/CVE-2025-11001
    • https://www.zerodayinitiative.com/advisories/ZDI-25-949/
    • コード実行。ZDIでは10月に公開。
13. CVE-2025-59840｜Kibana
    • https://discuss.elastic.co/t/kibana-8-19-7-9-1-7-9-2-1-security-update-esa-2025-25/383379
    • XSS。