pbkdf2の重大な脆弱性:署名偽造のリスク
2025-06-24
pbkdf2の`lib/to-buffer.js`ファイルにおける入力検証の脆弱性により、署名偽造が可能になります。バージョン3.0.10から3.1.2が影響を受けます。Harboristによる評価では、この重大な脆弱性(CVSS-B 9.1)により、攻撃者は署名を偽造できます。
続きを読む
開発
pbkdf2の`lib/to-buffer.js`ファイルにおける入力検証の脆弱性により、署名偽造が可能になります。バージョン3.0.10から3.1.2が影響を受けます。Harboristによる評価では、この重大な脆弱性(CVSS-B 9.1)により、攻撃者は署名を偽造できます。
続きを読む
Erlang/OTP SSHサーバに重大な脆弱性(CVE-2025-32433)が発見され、認証なしのリモートコード実行(RCE)が可能になることがわかりました。OTP-27.3.3、OTP-26.2.5.11、OTP-25.3.2.20より前のバージョンが影響を受けます。攻撃者はSSHプロトコルメッセージ処理の欠陥を利用して、資格情報なしで不正アクセスを取得し、任意のコマンドを実行できます。パッチが利用可能です。OTP-27.3.3、OTP-26.2.5.11、OTP-25.3.2.20以降のバージョンにアップデートしてください。
続きを読む
Microsoft Partner Centerに、認証されていない攻撃者がネットワーク上の権限を昇格させることができる深刻な脆弱性CVE-2024-49035が発見されました。この不適切なアクセス制御の脆弱性は、CISAの既知の悪用済み脆弱性カタログに掲載されています。Microsoftは、軽減策を適用するか、クラウドサービスのBOD 22-01ガイドラインに従うか、2025年3月18日までに製品の使用を中止するよう推奨しています。
続きを読む