Security JavaScript expr-evalに重大RCE脆弱性 CVE-2025-12735
Source:🛡 概要人気のJavaScript式パーサー「expr-eval」で、リモートコード実行(RCE)につながる重大な脆弱性(CVE-2025-12735)が報告されています。NPMで週80万超のダウンロード実績がある同ライブラリ...
Security
Security 
Security CISA、Samsungゼロデイ悪用で連邦にパッチ義務化—LandFall
Source:🛡 概要米CISAは、Samsung端末向け画像コーデックのゼロデイ脆弱性(CVE-2025-21042)がスパイウェア「LandFall」の配布に悪用されているとして、FCEB(米連邦民間行政府)機関に対し3週間以内(12月...
Security GlassWormがVS Code拡張3件で再出現、不可視UnicodeとSolana C2
Source:🛡 概要VS Codeエコシステムを狙う「GlassWorm」キャンペーンに関連する新たな拡張機能3件が確認され、依然としてダウンロード可能な状態にあると報告されました。GlassWormはOpen VSX Registryお...
Security ホテル狙うClickFixフィッシングとPureRATの大規模攻撃
Source:🛡 概要ホスピタリティ業界を標的に、ClickFix型の偽検証ページでホテル担当者を誘導し、PureRAT(別名 zgRAT)を配布して認証情報やカード情報を詐取する大規模フィッシングが確認されています。観測は少なくとも202...
Security Triofox脆弱性CVE-2025-12480悪用、AV機能でRAT導入
Source:🛡 概要Google傘下Mandiantは、Gladinet Triofoxの重大な認証バイパス脆弱性(CVE-2025-12480、CVSS 9.1)がパッチ公開後にn-dayとして悪用されていることを確認しました。攻撃者は...
Security runCの脆弱性でDockerからホストへコンテナ脱出の恐れ
Source:🛡 概要DockerやKubernetesで広く使われるコンテナランタイム「runC」に、コンテナ隔離を迂回してホストへ到達し得る重大な欠陥が3件報告されています(CVE-2025-31133、CVE-2025-52565、C...
Security Cisco ASA/FTDのゼロデイ連鎖、DoS再起動攻撃が活発化
Source:🛡 概要Ciscoは、これまでゼロデイとして悪用されてきた2件の脆弱性(CVE-2025-20362とCVE-2025-20333)が、新たにASA/FTDファイアウォールを強制再起動させるDoS攻撃に転用されていると警告しま...
Security QNAP NASの7件ゼロデイをPwn2Own悪用後に修正
Source:🛡 概要QNAPは、Pwn2Own Ireland 2025で研究者により実証・悪用されたNAS向けゼロデイ脆弱性7件に対し、QTS/QuTS heroおよび複数アプリの修正を公開しました。影響対象はQTS/QuTS hero...
Security NuGet悪性パッケージに遅延ロジックボム、Sharp7ExtendがPLC破壊—2027/2028に発火
Source:🛡 概要2023〜2024年にNuGetへ公開された9つの悪性パッケージが、タイムトリガで将来発火するロジックボムを内包していたことが判明しました。供給元は「shanhai666」。合計ダウンロードは9,488回。特にShar...
Security 中国系がLog4j/Confluence/IIS旧欠陥悪用、米非営利に潜伏
Source:🛡 概要中国関与が疑われる攻撃者が、米国の政策関連非営利組織に長期潜伏を狙った侵入を実行。インターネット露出サーバーに対し、既知の重大脆弱性(CVE-2022-26134: Atlassian Confluence OGNL ...