News

Cisco Systemsは現地時間8月14日、同社ファイアウォール製品向けに複数のセキュリティアドバイザリを公開し、複数の脆弱性へ対処したことを明らかにした。 「Cisco Secure Firewall ASA(Adaptive Security Appliance)」「Cisco Secure FTD(Firewall Threat Defense)」「Cisco Secure ...
認証を必要とすることなくリモートよりコマンドを実行されるおそれがある脆弱性「CVE-2025-20265」が明らかとなったもの。「Cisco Secure FMC 7.0.7」「同7.7.0」で「RADIUS認証」を使用している場合に影響を受ける。
Java向けアプリケーションフレームワーク「Spring Framework」に脆弱性が明らかとなった。脆弱性を修正したアップデートが提供されている。 開発チームは現地時間2025年8月14日、セキュリティアドバイザリを公開し、特定のサーブレットコンテナ環境においてパストラバーサルが生じる脆弱性「CVE-2025-41242」について明らかにした。
Palo Alto Networksは、現地時間2025年8月13日にセキュリティアドバイザリを公開し、同社の複数製品において脆弱性へ対処したことを明らかにした。 あらたに6件のアドバイザリを公開したが、重要度が4段階中もっとも高い「クリティカル(Critical)」、2番目に高い「高(High)」とされるものはなかった。
大規模言語モデル(LLM)のキャッシュ管理ツール「ModelCache for LLM」に深刻な脆弱性が明らかとなった。 インターネット経由で「ModelCache」を利用している環境において、リモートから任意のコードを実行されるおそれがある深刻な脆弱性「CVE-2025-45146」が明らかとなったもの。
Amazonは、「AWS」のデータ処理プラットフォーム「Amazon EMR」の一部コンポーネントに深刻な脆弱性が見つかったことを明らかにした。 「Amazon EMR」においてアプリケーションへシークレット情報を配布するために利用される標準コンポーネント「Secret Agent」に脆弱性「CVE-2025-8904」が確認されたもの。
「Apache Tomcat」の開発チームは現地時間2025年8月13日、6月以降にリリースされたアップデートで対処した脆弱性2件を明らかにした。 現地時間2025年8月6日、7日にリリースした「Apache Tomcat 11.0.10」「同10.1.44」「同9.0.108」では、「HTTP/2」の実装不備に起因するサービス拒否の脆弱性「CVE-2025-48989」に対応した。
Xeroxの印刷ワークフロー管理ソフト「FreeFlow Core」に複数の脆弱性が明らかとなった。リモートよりコードを実行されるおそれがあり、アップデートで修正されている。 「CVE-2025-8356」は、ディレクトリトラバーサルの脆弱性。本来アクセスが制限されるサーバ上のファイルにアクセスが可能となり、認証を必要とすることなくリモートから任意のコードを実行できる。
現地時間2025年8月13日、CERT/CCがセキュリティアドバイザリを公開し、「HTTP/2」の実装不備に起因する脆弱性「CVE-2025-8671」について明らかにしたもの。脆弱性は別名「MadeYouReset」と呼ばれている。
北海道は、道ウェブサイトにおいて、本来非公開である民泊届出者の個人情報を誤って公開していたことを明らかにした。 道では国のガイドラインに基づき、民泊の届出番号と所在地を公表しているが、2025年7月18日にデータを更新した際、本来は非公開とされる個人情報を誤って掲載するミスがあった。
米当局は、SolarWindsからスピンオフしたN-ableが提供しているIT管理ツール「N-able N-Central(旧SolarWinds N-central)」に関する複数の脆弱性がゼロデイ攻撃に悪用されているとして注意を呼びかけた。N-ableでは脆弱性を修正するアップデートをリリースした。
SAPは現地時間8月12日、セキュリティアドバイザリ19件を公開した。「クリティカル(Critical)」とされる脆弱性への対応も含まれる。 各社が定例のセキュリティアップデートを公開する米時間毎月第2火曜日、いわゆる「パッチチューズデー」にあわせ、新規アドバイザリ15件を公開したもの。既存アドバイザリ4件についてもアップデートを行った。