Drupalが多かったが、どうもNVDの登録が今日だっただけで公開は結構前だったっぽい。なんかNVDが不安定なんだが。Apple、Dell、IBMあたりの脆弱性情報はちょっと考えないと無理。 281

• CVE-2024-20439(Cisco Smart Licensing Utility)
  • https://www.cve.org/CVERecord?id=CVE-2024-20439
  • KEVの通知。ハードコードされた認証情報によりAPIログインが可能らしい。2024年9月頃に報告された模様。
• CVE-2025-24228(macOS)
  • https://support.apple.com …

昨夜がんばったので、なし！

325

• CVE-2025-31103(a-blog cms)
  • https://developer.a-blogcms.jp/blog/news/security-update202503.html
  • https://developer.a-blogcms.jp/blog/news/entry-4197.html
  • https://www.security-next.com/168713
  • https://securityonline.info/cve-2025-31103-zero-day-vulnerability-discovered-in-a-blog-cms-act-now-to-protect-your-web-server/
  • 悪用すると不正にファイルを作成できるらしい …

286

• CVE-2025-27832(Ghostscript)
  • https://www.security-next.com/168675
  • https://securityonline.info/ghostscript-nightmare-critical-severity-vulnerabilities-put-users-at-risk/
  • https://bugs.ghostscript.com/show_bug.cgi?id=708133
  • 他多数。
• CVE-2025-2857(Firefox)
  • https://www.security-next.com/168682
  • https://www.mozilla.org/en-US/security/advisories/mfsa2025-19/
  • Chromeの脆弱性の影響調査でsandbox回避の脆弱性が見つかったらしい。
• CVE-2025-2848(Synology Mail Server)
  • https://securityonline.info/cve-2025-2848-synology-mail-server-vulnerability-allows-remote-configuration-tampering/
  • メール …

196+60

• CVE-2025-2255(GitLab)
  • https://securityonline.info/gitlab-alert-patch-now-xss-privilege-escalation-risks/
  • https://about.gitlab.com/releases/2025/03/26/patch-release-gitlab-17-10-1-released/
  • XSS。他にもいくつか。
• CVE-2025-20229(Splunk Enterprise)
  • https://nvd.nist.gov/vuln/detail/CVE-2025-20229
  • https://advisory.splunk.com/advisories/SVD-2025-0301
  • 権限が必要。adminまたはpowerのロールを持たないユーザが特定ディレクトリにファイルをアップロードすることでRCEが可能とのこと。
• CVE-2025-2825(CrushFTP)
  • https …

320

• CVE-2025-22230(Vmware Tools)
  • https://securityonline.info/vmware-tools-for-windows-hit-by-cve-2025-22230-auth-bypass-flaw/
  • https://www.security-next.com/168581
  • https://support.broadcom.com/web/ecx/support-content-notification/-/external/content/SecurityAdvisories/0/25518
  • Windows版のみ。VM内での認証回避による権限昇格っぽい。
• CVE-2025-2783(Chrome)
  • https://securityonline.info/cve-2025-2783-chrome-zero-day-exploited-in-state-sponsored-espionage-campaign/
  • https://www.security-next.com/168573
  • https://chromereleases.googleblog.com/2025/03/stable-channel-update-for-desktop_25.html
  • Windowsで動作するプロセス間通信コンポーネントが対象とのこと。
• CVE-2025-1974(ingress-nginx)
  • https …

300

• CVE-2025-29922(kpc)
  • https://securityonline.info/cve-2025-29922-critical-flaw-in-kcp-lets-attackers-manipulate-any-workspace/
  • マルチテナント向けkubenetesのようなもの、らしい。kube界隈わからん。
• CVE-2025-26909(WP Ghost WordPress Plugin)
  • https://securityonline.info/critical-vulnerability-discovered-in-popular-wordpress-security-plugin-wp-ghost/
  • LFI。デフォルトで無効な機能らしい。最近セキュ …

土日頑張ったので楽。 34

• CVE-2018-25109(GC版どうぶつの森)
  • https://nvd.nist.gov/vuln/detail/CVE-2018-25109
  • ゲームのCVE初めて見た気がする。
• CVE-2025-29806(Microsoft Edge)
  • https://nvd.nist.gov/vuln/detail/CVE-2025-29806
  • CVE-2025-2476(Chrome)の修正とは別に見つかった個別 …

48

• CVE-2025-27888(Apache Druid
  • https://securityonline.info/cve-2025-27888-apache-druid-flaw-opens-door-to-ssrf-and-xss-risks-in-real-time-analytics-platforms/
  • https://lists.apache.org/thread/c0qo989pwtrqkjv6xfr0c30dnjq8vf39
  • 認証が必要。管理プロキシ機能はデフォルトで有効。SSRFによりXSSやXSRFができる可能性があるらしい。XSRFってなんだ？と思ったらCSRFのことっぽい。

気になるの多いな...？土日でやるとだらっとやって時間かかるしどれも気になるし、あんまりよくないのかもしれない …