| CVE | CVE-2025-31324 |
|---|---|
| 影響を受ける製品 | SAP NetWeaver Visual Composer |
| 脆弱性サマリ | Visual ComposerのMetadata Uploaderコンポーネントにおける未認証のファイルアップロード脆弱性 |
| 重大度 | 高 |
| RCE | 有 |
| 攻撃観測 | 有 |
| PoC公開 | 不明 |
| CVE | なし |
|---|---|
| 影響を受ける製品 | SAP NetWeaver |
| 脆弱性サマリ | 新しい脆弱性を利用して、SAP NetWeaverにJSP Webシェルをアップロードすることで、不正なファイルアップロードとコード実行が目的とされている。 |
| 重大度 | 高 |
| RCE | 有 |
| 攻撃観測 | 不明 |
| PoC公開 | 不明 |
| CVE | なし |
|---|---|
| 影響を受ける製品 | 複数の通信事業者、世界中の多くの企業 |
| 脆弱性サマリ | 中国のSalt Typhoonハッカーによる広範囲な通信業者侵害 |
| 重大度 | 高 |
| RCE | 不明 |
| 攻撃観測 | 有 |
| PoC公開 | 不明 |
| CVE | CVE-2025-27610 CVE-2025-27111 CVE-2025-25184 CVE-2025-43928 |
|---|---|
| 影響を受ける製品 | Rack Ruby web server Infodraw Media Relay Service |
| 脆弱性サマリ | Rack Ruby web serverには無効なパストラバーサルやログの操作の脆弱性があり、攻撃者が不正なファイルアクセスやログの歪曲を可能にする。Infodraw Media Relay Serviceにはパストラバーサルの脆弱性があり、未認証の攻撃者が任意のファイルを読み取るか削除できる。 |
| 重大度 | 高 高 |
| RCE | 不明 不明 |
| 攻撃観測 | 不明 無 |
| PoC公開 | 不明 無 |
| CVE | CVE-2025-0282 |
|---|---|
| 影響を受ける製品 | Ivanti Connect Secure (ICS) |
| 脆弱性サマリ | ICSにおける未認証のリモートコード実行を許す致命的な脆弱性 |
| 重大度 | 高 |
| RCE | 有 |
| 攻撃観測 | 有 |
| PoC公開 | 不明 |
| CVE | なし |
|---|---|
| 影響を受ける製品 | Microsoft 365 アカウント |
| 脆弱性サマリ | OAuth 2.0ワークフローを悪用してMicrosoft 365アカウントを乗っ取る |
| 重大度 | 高 |
| RCE | 無 |
| 攻撃観測 | 有 |
| PoC公開 | 無 |
| CVE | なし |
|---|---|
| 影響を受ける製品 | Innorix Agent ファイル転送ソリューション |
| 脆弱性サマリ | ファイル転送クライアントの脆弱性を悪用し、Lazarusハッカーグループによる多数の組織への攻撃が確認された |
| 重大度 | 高 |
| RCE | 有 |
| 攻撃観測 | 有 |
| PoC公開 | 不明 |
| 事件発生日 | 2025年4月24日 |
|---|---|
| 被害者名 | Microsoft |
| 被害サマリ | Microsoftのマシンラーニングモデルのバグにより、Adobeの電子メールが誤ってスパムとして分類された |
| 被害額 | 不明 |
| 攻撃者名 | 不明(Microsoftのシステム内部のバグ) |
|---|---|
| 攻撃手法サマリ | マシンラーニングモデルの誤作動による電子メール分類の誤り |
| マルウェア | 不明 |
| 脆弱性 | 不明 |