脆弱性速報
実際に悪用されている脆弱性(CISA KEV)を新着順に。各CVEに悪用確率(EPSS)と深刻度(CVSS)を添え、「今すぐ直すべきか」を防御目線で判断できるようにしたフィードです。
複数のGeoVisionデバイスにOSコマンドインジェクション脆弱性が存在し、リモート認証なしの攻撃者が任意のシステムコマンドをインジェクションして実行することが可能です。影響を受けるプロダクトはサポート終了(EoL)および/またはサービス終了(EoS)の可能性があります。ユーザーは製品の利用を中止すべきです。
KEV掲載: 2025-05-07公式(NVD) →FreeTypeには、TrueType GXおよび可変フォントファイルに関連するフォント部分グリフ構造を解析する際に、境界外書き込み脆弱性が含まれており、任意のコード実行を許可する可能性があります。
KEV掲載: 2025-05-06公式(NVD) →Langflowの/api/v1/validate/codeエンドポイントに認証不足の脆弱性が存在し、リモートの認証されていない攻撃者が細工されたHTTPリクエストを通じて任意のコードを実行できます。
KEV掲載: 2025-05-05公式(NVD) →Yiiフレームワークに含まれる代替パスの不適切な保護の脆弱性により、リモート攻撃者が任意のコードを実行できる可能性があります。この脆弱性は、CVE-2025-32432で表現されているCraft CMSを含む、Yiiを実装する他の製品に影響を与える可能性があります。
KEV掲載: 2025-05-02公式(NVD) →Commvault Command Centerに存在するパストトラバーサル脆弱性により、リモートの認証されていない攻撃者が任意のコードを実行できます。
KEV掲載: 2025-05-02公式(NVD) →Apache HTTP Serverのmod_rewriteに出力の不適切なエスケープ脆弱性が存在します。攻撃者はURLをファイルシステム上の場所にマップでき、サーバーで提供することが許可されていますが、意図的または直接的にはいかなるURLからもアクセス不可な場所にマップできます。その結果、コード実行またはソースコード開示が発生する可能性があります。
KEV掲載: 2025-05-01公式(NVD) →SonicWall SMA100アプライアンスのSSL-VPN管理インターフェースに、OSコマンドインジェクション脆弱性が存在します。この脆弱性により、管理者権限を持つ認証済みのリモート攻撃者が、「nobody」ユーザーとして任意のコマンドを注入実行することが可能になります。
KEV掲載: 2025-05-01公式(NVD) →SAP NetWeaver Visual Composer Metadata Uploader に、認証なしで潜在的に悪意のある実行可能バイナリをアップロードできる無制限ファイルアップロード脆弱性が存在します。
KEV掲載: 2025-04-29公式(NVD) →Commvault Webサーバーに、リモート認証済み攻撃者がWebシェルを作成および実行することを可能にする特定されていない脆弱性が含まれています。
KEV掲載: 2025-04-28公式(NVD) →Qualitia Active! Mailはスタックベースのバッファオーバーフロー脆弱性を含んでおり、リモートの認証されていない攻撃者が特別に細工されたリクエストを通じて任意のコードを実行するか、サービス拒否を引き起こすことができます。
KEV掲載: 2025-04-28公式(NVD) →Broadcom Brocade Fabric OSは、管理者権限を持つローカルユーザーが完全なroot権限で任意のコードを実行できるようにするコード注入脆弱性が含まれています。
KEV掲載: 2025-04-28公式(NVD) →Microsoft Windows NTLMには、ファイル名またはパスの外部制御の脆弱性が存在し、認可されていない攻撃者がネットワーク経由でスプーフィングを実行することを許可します。
KEV掲載: 2025-04-17公式(NVD) →AppleのiOS、iPadOS、macOS、およびその他のApple製品には、攻撃者がポインタ認証をバイパスすることを可能にする任意の読み書き脆弱性が含まれています。
KEV掲載: 2025-04-17公式(NVD) →Apple iOS、iPadOS、macOS、およびその他のApple製品に、悪意のある細工がされたメディアファイル内のオーディオストリームを処理する際にコード実行を許可するメモリ破損脆弱性が存在します。
KEV掲載: 2025-04-17公式(NVD) →SonicWall SMA100アプライアンスの管理インターフェースにOSコマンドインジェクション脆弱性が存在します。この脆弱性により、認証済みのリモート攻撃者が「nobody」ユーザーとして任意のコマンドを注入でき、コード実行につながる可能性があります。
KEV掲載: 2025-04-16公式(NVD) →Linuxカーネルに含まれるUSB-audioドライバの境界外アクセス脆弱性により、システムへの物理的アクセスを有する攻撃者は、悪意のあるUSBデバイスを使用してシステムメモリを改ざんする可能性、権限昇格を行う可能性、または任意のコードを実行する可能性があります。
KEV掲載: 2025-04-09公式(NVD) →Linux カーネルの USB オーディオドライバに境界外読み取り脆弱性が存在し、ローカルの特権ユーザーが機密情報を取得される可能性があります。
KEV掲載: 2025-04-09公式(NVD) →Gladinet CentreStackとTriofoxは、ViewState整合性検証に使用される鍵を管理する方法に、ハードコードされた暗号化鍵の脆弱性が存在します。この脆弱性を悪用すると、攻撃者はViewStateペイロードを偽造してサーバー側の逆シリアル化を実行でき、リモートコード実行が可能になります。
KEV掲載: 2025-04-08公式(NVD) →Microsoft Windows Common Log File System (CLFS) ドライバに使用後解放(use-after-free)の脆弱性が含まれており、認可された攻撃者がローカルで権限昇格を実行することが可能です。
KEV掲載: 2025-04-08公式(NVD) →CrushFTPのHTTP認可ヘッダーに認証回避脆弱性が存在し、リモートの認証されていない攻撃者が既知またはゲッサブル可能なユーザーアカウント(例:crushadmin)に認証できる可能性があり、完全な侵害につながる恐れがあります。
KEV掲載: 2025-04-07公式(NVD) →Ivanti Connect Secure, Policy Secure, and ZTA Gateways contains a stack-based buffer overflow vulnerability that allows a remote unauthenticated attacker to achieve remote code execution.
KEV掲載: 2025-04-04公式(NVD) →Apache Tomcat contains a path equivalence vulnerability that allows a remote attacker to execute code, disclose information, or inject malicious content via a partial PUT request.
KEV掲載: 2025-04-01公式(NVD) →Cisco Smart Licensing Utility contains a static credential vulnerability that allows an unauthenticated, remote attacker to log in to an affected system and gain administrative credentials.
KEV掲載: 2025-03-31公式(NVD) →Google Chromium Mojo on Windows contains a sandbox escape vulnerability caused by a logic error, which results from an incorrect handle being provided in unspecified circumstances. This vulnerability could affect multiple web browsers that utilize Chromium, including, but not limited to, Google Chrome, Microsoft Edge, and Opera.
KEV掲載: 2025-03-27公式(NVD) →Sitecore CMS and Experience Platform (XP) contain a deserialization vulnerability in the Sitecore.Security.AntiCSRF module that allows an unauthenticated attacker to execute arbitrary code by sending a serialized .NET object in the HTTP POST parameter __CSRFTOKEN.
KEV掲載: 2025-03-26公式(NVD) →Sitecore CMS and Experience Platform (XP) contain a deserialization vulnerability in the Sitecore.Security.AntiCSRF module that allows an authenticated attacker to execute arbitrary code by sending a serialized .NET object in the HTTP POST parameter __CSRFTOKEN.
KEV掲載: 2025-03-26公式(NVD) →reviewdog action-setup GitHub Action contains an embedded malicious code vulnerability that dumps exposed secrets to Github Actions Workflow Logs.
KEV掲載: 2025-03-24公式(NVD) →NAKIVO Backup and Replication contains an absolute path traversal vulnerability that enables an attacker to read arbitrary files.
KEV掲載: 2025-03-19公式(NVD) →SAP NetWeaver Application Server (AS) Java contains a directory traversal vulnerability in scheduler/ui/js/ffffffffbca41eb4/UIUtilJavaScriptJS that allows a remote attacker to read arbitrary files via a .. (dot dot) in the query string.
KEV掲載: 2025-03-19公式(NVD) →Edimax IC-7100 IP camera contains an OS command injection vulnerability due to improper input sanitization that allows an attacker to achieve remote code execution via specially crafted requests. The impacted product could be end-of-life (EoL) and/or end-of-service (EoS). Users should discontinue product utilization.
KEV掲載: 2025-03-19公式(NVD) →tj-actions/changed-files GitHub Action contains an embedded malicious code vulnerability that allows a remote attacker to discover secrets by reading Github Actions Workflow Logs. These secrets may include, but are not limited to, valid AWS access keys, GitHub personal access tokens (PATs), npm tokens, and private RSA keys.
KEV掲載: 2025-03-18公式(NVD) →Fortinet FortiOS and FortiProxy contain an authentication bypass vulnerability that allows a remote attacker to gain super-admin privileges via crafted CSF proxy requests.
KEV掲載: 2025-03-18公式(NVD) →Juniper Junos OS contains an improper isolation or compartmentalization vulnerability. This vulnerability could allows a local attacker with high privileges to inject arbitrary code.
KEV掲載: 2025-03-13公式(NVD) →Apple iOS, iPadOS, macOS, and other Apple products contain an out-of-bounds write vulnerability in WebKit that may allow maliciously crafted web content to break out of Web Content sandbox. This vulnerability could impact HTML parsers that use WebKit, including but not limited to Apple Safari and non-Apple products which rely on WebKit for HTML processing.
KEV掲載: 2025-03-13公式(NVD) →Microsoft Windows Management Console (MMC) contains an improper neutralization vulnerability that allows an unauthorized attacker to bypass a security feature locally.
KEV掲載: 2025-03-11公式(NVD) →Microsoft Windows New Technology File System (NTFS) contains an insertion of sensitive Information into log file vulnerability that allows an unauthorized attacker to disclose information with a physical attack. An attacker who successfully exploited this vulnerability could potentially read portions of heap memory.
KEV掲載: 2025-03-11公式(NVD) →Microsoft Windows New Technology File System (NTFS) contains a heap-based buffer overflow vulnerability that allows an unauthorized attacker to execute code locally.
KEV掲載: 2025-03-11公式(NVD) →Microsoft Windows Fast FAT File System Driver contains an integer overflow or wraparound vulnerability that allows an unauthorized attacker to execute code locally.
KEV掲載: 2025-03-11公式(NVD) →Microsoft Windows Win32 Kernel Subsystem contains a use-after-free vulnerability that allows an authorized attacker to elevate privileges locally.
KEV掲載: 2025-03-11公式(NVD) →Microsoft Windows New Technology File System (NTFS) contains an out-of-bounds read vulnerability that allows an authorized attacker to disclose information locally.
KEV掲載: 2025-03-11公式(NVD) →
優先度 = KEV(実際に悪用中) + EPSS(30日内に悪用される確率) + CVSS(深刻度) の合成。防御目的のフィードで、攻撃コードやPoCは扱いません。各CVEの詳細は公式(NVD)へリンクします。