【要点】 ◎PHP開発チームは、複数の脆弱性を修正した「PHP 8.5.1」などを公開した。バッファオーバーフローや情報漏洩など計3件に対応し、利用者に更新を呼びかけている。 (Security NEXT)

【要点】 ◎MozillaはFirefox 146.0.1を公開し、Use After Freeを含む2件の脆弱性を修正した。1件はCVSS 9.8のクリティカル評価で、更新が強く推奨される。 (Security NEXT)

malware-log.hatenablog.com 【ニュース】■2025年◇2025年12月 ◆Critical MongoDB Flaw Leaks Sensitive Data Through zlib Compression (gbhackers., 2025/12/24) [重大なMongoDBの脆弱性、zlib圧縮経由で機密データを漏洩] https://gbhackers.com/critical-…

【要点】 ◎米CISAは、MongoDBの脆弱性CVE-2025-14847が実際に悪用されているとしてKEVに追加し、早急な対応を呼びかけた。

【要点】 ◎メール転送エージェントExim 4.99の特定設定で深刻な脆弱性が判明。CVE-2025-67896は最大CVSS 9.8と評価され、修正版4.99.1への更新が推奨される。 (Security NEXT)

【要点】 ◎Apache NiFiのAsana連携プロセッサにRCE脆弱性（CVE-2025-66524）。NiFi 1.20.0～2.6.0が影響を受け、2.7.0で修正済み。 (Security NEXT)

【要点】 ◎n8nに今月3件目のクリティカル脆弱性。Python Code Nodeでサンドボックス回避が可能となり、2.0.0で修正済み。 (Security NEXT)

【要点】 ◎IBM API Connectに認証回避のクリティカル脆弱性。CVE-2025-13915はCVSS 9.8で、暫定修正の適用が必須。 (Security NEXT)

【要点】 ◎MongoDBに認証不要で機密情報が漏洩する脆弱性「MongoBleed」（CVE-2025-14847）が判明し、PoC公開により早急な更新対応が求められている。

【要点】 ◎MongoDBの重大脆弱性「MongoBleed」（CVE-2025-14847）で、認証不要にメモリ内容を漏洩させるPoCエクスプロイトが公開され、緊急対応が求められている。 (Cyber Security News)

【脆弱性内容】 公開日 登録日 CVE番号 NVD ベンダー CVSS v3 CWE 脆弱性 KEV 備考 2025/12/23 2025/04/15 CVE-2025-33222 NVD NVIDIA 9.8(NVIDIA) CWE-798 ハードコードされた認証情報の使用 - Isaac Launchable 2025/12/23 2025/04/15 CVE-2025-33223 NVD …

【要点】 ◎Atlassianは2025年11月更新で46件の脆弱性を修正したと公表。クリティカル9件を含むが、主に依存ライブラリ起因で実利用上の影響は限定的と説明している。 (Security NEXT)

【要点】 ◎NVIDIAはAI基盤NeMo Frameworkにモデル読み込み処理などの脆弱性2件を公表。不正データでコード実行などの恐れがあり、修正版2.5.3への更新を呼びかけている。 (Security NEXT)

【要点】 ◎Trend Micro Apex OneのEDR用コンポーネントがRedisの脆弱性の影響を受けると判明。深刻度は中程度で、修正パッチは2026年1月公開予定。 (Security NEXT)

【要点】 ◎Net-SNMPに認証不要でDoSやコード実行の恐れがある深刻な脆弱性が判明し、開発者は即時アップデートを呼びかけている。