【要点】 ◎オープンソースのワークフロー自動化ツール 【脆弱性内容】 公開日 登録日 CVE番号 NVD ベンダー CVSS v3 CWE 脆弱性 KEV 備考 2025/12/08 2025/11/18 CVE-2025-65964 NVD n8n-io 8.8(NVD) CWE-829 信頼できない制御領域からの機能の組み込み - n8…

【要点】 ◎n8nに認証不要でリモートコード実行が可能な重大脆弱性Ni8mareが発見され、任意ファイル読取や権限回避の恐れが判明した。 (Gigazine)

【要点】 ◎PHP開発チームは、複数の脆弱性を修正した「PHP 8.5.1」などを公開した。バッファオーバーフローや情報漏洩など計3件に対応し、利用者に更新を呼びかけている。 (Security NEXT)

【要点】 ◎MozillaはFirefox 146.0.1を公開し、Use After Freeを含む2件の脆弱性を修正した。1件はCVSS 9.8のクリティカル評価で、更新が強く推奨される。 (Security NEXT)

【要点】 ◎法務AIツールFilevineに部外者が機密文書へアクセス可能な脆弱性が存在し、約10万件の法律関連ファイルが閲覧可能な状態だったことが判明した。 (Gigazine)

【要点】 ◎n8nに深刻なRCE脆弱性が判明し、無制限なファイルアップロードによりインスタンス乗っ取りの恐れがあったが、2025年11月の更新で修正された。 (Security NEXT)

【要点】 ◎VeeamはBackup & Replicationの重大なRCE脆弱性を修正した。特権ロール悪用でバックアップサーバーが侵害される恐れがあり、ランサムウェア対策として更新が強く推奨される。

malware-log.hatenablog.com 【ニュース】■2025年◇2025年12月 ◆Critical MongoDB Flaw Leaks Sensitive Data Through zlib Compression (gbhackers., 2025/12/24) [重大なMongoDBの脆弱性、zlib圧縮経由で機密データを漏洩] https://gbhackers.com/critical-…

【要点】 ◎米CISAは、MongoDBの脆弱性CVE-2025-14847が実際に悪用されているとしてKEVに追加し、早急な対応を呼びかけた。

【要点】 ◎メール転送エージェントExim 4.99の特定設定で深刻な脆弱性が判明。CVE-2025-67896は最大CVSS 9.8と評価され、修正版4.99.1への更新が推奨される。 (Security NEXT)

【要点】 ◎Apache NiFiのAsana連携プロセッサにRCE脆弱性（CVE-2025-66524）。NiFi 1.20.0～2.6.0が影響を受け、2.7.0で修正済み。 (Security NEXT)

【要点】 ◎n8nに今月3件目のクリティカル脆弱性。Python Code Nodeでサンドボックス回避が可能となり、2.0.0で修正済み。 (Security NEXT)

【要点】 ◎IBM API Connectに認証回避のクリティカル脆弱性。CVE-2025-13915はCVSS 9.8で、暫定修正の適用が必須。 (Security NEXT)

【要点】 ◎MongoDBに認証不要で機密情報が漏洩する脆弱性「MongoBleed」（CVE-2025-14847）が判明し、PoC公開により早急な更新対応が求められている。

【要点】 ◎MongoDBの重大脆弱性「MongoBleed」（CVE-2025-14847）で、認証不要にメモリ内容を漏洩させるPoCエクスプロイトが公開され、緊急対応が求められている。 (Cyber Security News)

【脆弱性内容】 公開日 登録日 CVE番号 NVD ベンダー CVSS v3 CWE 脆弱性 KEV 備考 2025/12/23 2025/04/15 CVE-2025-33222 NVD NVIDIA 9.8(NVIDIA) CWE-798 ハードコードされた認証情報の使用 - Isaac Launchable 2025/12/23 2025/04/15 CVE-2025-33223 NVD …

【要点】 ◎Atlassianは2025年11月更新で46件の脆弱性を修正したと公表。クリティカル9件を含むが、主に依存ライブラリ起因で実利用上の影響は限定的と説明している。 (Security NEXT)

【要点】 ◎NVIDIAはAI基盤NeMo Frameworkにモデル読み込み処理などの脆弱性2件を公表。不正データでコード実行などの恐れがあり、修正版2.5.3への更新を呼びかけている。 (Security NEXT)

【要点】 ◎Trend Micro Apex OneのEDR用コンポーネントがRedisの脆弱性の影響を受けると判明。深刻度は中程度で、修正パッチは2026年1月公開予定。 (Security NEXT)

【要点】 ◎Net-SNMPに認証不要でDoSやコード実行の恐れがある深刻な脆弱性が判明し、開発者は即時アップデートを呼びかけている。

【要点】 ◎MITRE系機関が約4万件の脆弱性を分析し、2025年の危険な脆弱性タイプ上位25を公表。XSSが首位で、SQLインジェクションや認可不備など実務的リスクが浮き彫りとなった。 (Security NEXT)

【要点】 ◎MongoDBは、認証不要で任意コード実行が可能な深刻度の高い脆弱性CVE-2025-14847を修正した。影響範囲は広く、管理者に対し即時アップグレードまたはzlib無効化を強く推奨している。 (Security Affairs)

【要点】 ◎NVIDIAは「Isaac Launchable」に致命的脆弱性を公表した。認証情報流出や特権昇格により完全侵害の恐れがあり、利用者は修正版1.1へ即時更新が必要とされる。 (マイナビニュース)

malware-log.hatenablog.com 【脆弱性内容】 公開日 登録日 CVE番号 NVD ベンダー CVSS v3 CWE 脆弱性 KEV 備考 2024/12/02 2024/11/24 CVE-2024-53900 NVD MongoDB 9.1(CISA-ADP) CWE-89 SQLインジェクション - MongoDB 2025/01/15 2025/01/10 CVE-2025-230…

【要点】 ◎NVIDIAのロボティクス基盤「Isaac Launchable」にCVSS 9.8の重大脆弱性が判明。修正版1.1への更新が必須。 (Security NEXT)

【要点】 ◎Fortraの特権アクセス管理製品「BoKS」に脆弱性が判明。特定環境で弱いパスワードハッシュが使われる恐れがあり、修正版への更新が推奨されている。 (Security NEXT)

【要点】 ◎LLM開発フレームワーク「LangChain」に深刻な脆弱性が判明し、APIキーなどのシークレット情報が流出する恐れがある。 (Security NEXT)

【要点】 ◎MongoDBのzlib圧縮処理に起因する重大脆弱性CVE-2025-14847により、認証不要でヒープメモリから機密データが漏洩する恐れがあり、即時更新が推奨された。 (gbhackers.)

【要点】 ◎MongoDBは、認証不要で悪用可能な深刻なRCE脆弱性（CVE-2025-14847）について、影響を受ける多数のバージョン利用者に対し、直ちに修正済みバージョンへのアップグレードを強く警告した。

【要点】 ◎米CISAはDigiEver製NVR「DS-2105 Pro」の脆弱性が実際に悪用されているとして警告した。認可不備により任意コマンド実行の恐れがある。 (Security NEXT)