脆弱性(OSS以外のものも含む)に関するトピックを集めています。最新の情報でディストリビューション側で対応できていないものも、こちらには載せています。適宜更新していきます。
脆弱性情報に関してはこちら(外部サイト)もご参照下さい
2025/07/10
ServiceNowの脆弱性(Count(er) Strike: CVE-2025-3648)
- Varonisのブログより
- ServiceNowに、権限のないデータを推測できる脆弱性が発見されました。詳しい説明はVaronisのブログで確認して下さい。
- CVE-2025-3648
- CVSS
- CVSS-B: 8.2 High
- Vector: CVSS:4.0/AV:N/AC:L/AT:P/PR:N/UI:N/VC:H/VI:N/VA:N/SC:N/SI:N/SA:N
- Service Now Platform に、権限のないデータの推測につながる脆弱性が確認されました。特定の条件付きアクセス制御リスト (ACL) 構成では、この脆弱性により、認証されていないユーザーと認証済みのユーザーがクエリを使用して、アクセスできないインスタンスデータを推測できる可能性があります。
- CVSS
次のBINDの更新は7/16。脆弱性も公表される予定。
https://www.mail-archive.com/bind-announce@lists.isc.org/msg00692.html
2025/07/04
Cisco Unified Communications ManagerのSSHクレデンシャルの脆弱性(CVE-2025-20309)
- Ciscoのアドバイザリより
- Cisco Unified Communications Manager (Unified CM) および Cisco Unified Communications Manager Session Management Edition (Unified CM SME)の埋め込みのrootアカウントがリモートの攻撃者により悪用される可能性があります。
- CVE-2025-20309
- CVSS
- Base Score: 10.0
- Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H/E:X/RL:X/RC:X
- 該当の製品にはCiscoの特権アカウント認証が開発中に使用されるために埋め込まれています。攻撃者は、このアカウントを使用して影響を受けるシステムにログインすることで、この脆弱性を悪用する可能性があります。この脆弱性を悪用すると、攻撃者は影響を受けるシステムにログインし、 ルート ユーザーとして任意のコマンドを実行できる可能性があります。
- CVSS
2025/07/02
Anthropic MCP InspectorにRCEの脆弱性(CVE-2025-49596)
- Oligo Securityのブログより
- AnthropicのMCP Inspector(ブラウザベースのMCPサーバーテスト/デバッグツール)にRCEの脆弱性が見つかりました。
- CVE-2025-49596
- CVSS
- CVSS-B: 9.4 Critical
- Vector: CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:P/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H
- MCP Inspector < 0.14.1 には、インスペクタクライアントとプロキシ間の認証が不十分なため、リモートコード実行の脆弱性があり、認証されていないリクエストがstdio経由でMCPコマンドを実行できる可能性があります。これらの脆弱性に対処するため、ユーザーは直ちにバージョン0.14.1以降にアップグレードする必要があります。
- CVSS