400

• CVE-2025-25013(Elastic Defend)
  • https://nvd.nist.gov/vuln/detail/CVE-2025-25013
  • ElasticにEDRあったんだ。
• CVE-2025-32464(HA Proxy)
  • https://github.com/haproxy/haproxy/commit/3e3b9eebf871510aee36c3a3336faac2f38c9559
  • Overflow。構成に条件があるっぽい？
• CVE-2025-32375(BentoML)
  • https://github.com/bentoml/BentoML/security/advisories/GHSA-7v4r-c989-xh26
  • またかい。
• CVE-2025-32387(Helm …

昨日頑張って減らしたのに寝て起きたら600超えてた。かなしみ。 MicrosoftとAdobeとFortinet。

• CVE-2024-48887(FortiSwitch)
  • https://fortiguard.fortinet.com/psirt/FG-IR-24-435
  • https://securityonline.info/fortinet-critical-unverified-password-change-flaw-in-fortiswitch/
  • GUIに認証なしでリモートから管理者パスワードを変更可能らしい。アクセス制御ミスやうっかり …

Huawei関連が気になった。リリースサイクルとかだったんかな？調べれてはいない。

• CVE-2025-2244(Bitdefender GravityZone Console)
  • https://securityonline.info/bitdefender-gravityzone-console-hit-by-critical-php-deserialization-vulnerability/
  • Emails.phpのsendMailFromRemoteSourceでunserializeが安全に行われておらず …

• CVE-2025-31492(mod_auth_openidc)
  • https://nvd.nist.gov/vuln/detail/CVE-2025-31492
  • https://github.com/OpenIDC/mod_auth_openidc/security/advisories/GHSA-59jp-rwph-878r
  • Apache HTTPのOpenIDに関するモジュールに保護されたリソースが漏洩する可能性がある模様

危険度が高いものはあまり見つけられず、いまいち掴みきれなくて気になったりこんなのあるんだと気になったり …

• CVE-2024-36465,CVE-2024-45699(Zabbix)
  • https://support.zabbix.com/browse/ZBX-26257
  • https://support.zabbix.com/browse/ZBX-26254
  • SQLiとXSS。SQLiはAPI権限が必要、XSSもあまりZabbixに誰でもアクセスできるイメージがないので何らかの権限いりそうな気はする。
• CVE-2025-2704(OpenVPN)
  • https://securityonline.info/cve-2025-2704-critical-bug-in-openvpn-can-trigger-server-crashes/
  • DoS。CVE-2024-4877とかCVE-2025-25568(調べたら少し前だった)とかなんかVPN周り気になった。
• CVE-2025-25000(Microsoft Edge)
  • https://msrc …

879+

• CVE-2025-30223(Beego)
  • https://www.security-next.com/168779
  • https://github.com/beego/beego/security/advisories/GHSA-2j42-h78h-q4fg
  • Go言語のWeb Application Framework。Go人気だけどWeb系だとさすがにあんまりなんだろうか。
• CVE-2025-31722(Jenkins)
  • https://www.jenkins.io/security/advisory/2025-04-02/
  • 複数あり。サンドボックスを回避してコード実行 …

Drupalが多かったが、どうもNVDの登録が今日だっただけで公開は結構前だったっぽい。なんかNVDが不安定なんだが。Apple、Dell、IBMあたりの脆弱性情報はちょっと考えないと無理。 281

• CVE-2024-20439(Cisco Smart Licensing Utility)
  • https://www.cve.org/CVERecord?id=CVE-2024-20439
  • KEVの通知。ハードコードされた認証情報によりAPIログインが可能らしい。2024年9月頃に報告された模様。
• CVE-2025-24228(macOS)
  • https://support.apple.com …

昨夜がんばったので、なし！

325

• CVE-2025-31103(a-blog cms)
  • https://developer.a-blogcms.jp/blog/news/security-update202503.html
  • https://developer.a-blogcms.jp/blog/news/entry-4197.html
  • https://www.security-next.com/168713
  • https://securityonline.info/cve-2025-31103-zero-day-vulnerability-discovered-in-a-blog-cms-act-now-to-protect-your-web-server/
  • 悪用すると不正にファイルを作成できるらしい …