脆弱性(OSS以外のものも含む)に関するトピックを集めています。最新の情報でディストリビューション側で対応できていないものも、こちらには載せています。適宜更新していきます。
脆弱性情報に関してはこちら(外部サイト)もご参照下さい
2025/07/04
Cisco Unified Communications ManagerのSSHクレデンシャルの脆弱性(CVE-2025-20309)
- Ciscoのアドバイザリより
- Cisco Unified Communications Manager (Unified CM) および Cisco Unified Communications Manager Session Management Edition (Unified CM SME)の埋め込みのrootアカウントがリモートの攻撃者により悪用される可能性があります。
- CVE-2025-20309
- CVSS
- Base Score: 10.0
- Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H/E:X/RL:X/RC:X
- 該当の製品にはCiscoの特権アカウント認証が開発中に使用されるために埋め込まれています。攻撃者は、このアカウントを使用して影響を受けるシステムにログインすることで、この脆弱性を悪用する可能性があります。この脆弱性を悪用すると、攻撃者は影響を受けるシステムにログインし、 ルート ユーザーとして任意のコマンドを実行できる可能性があります。
- CVSS
2025/07/02
Anthropic MCP InspectorにRCEの脆弱性(CVE-2025-49596)
- Oligo Securityのブログより
- AnthropicのMCP Inspector(ブラウザベースのMCPサーバーテスト/デバッグツール)にRCEの脆弱性が見つかりました。
- CVE-2025-49596
- CVSS
- CVSS-B: 9.4 Critical
- Vector: CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:P/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H
- MCP Inspector < 0.14.1 には、インスペクタクライアントとプロキシ間の認証が不十分なため、リモートコード実行の脆弱性があり、認証されていないリクエストがstdio経由でMCPコマンドを実行できる可能性があります。これらの脆弱性に対処するため、ユーザーは直ちにバージョン0.14.1以降にアップグレードする必要があります。
- CVSS
