<<< JPCERT/CC WEEKLY REPORT 2025-11-06 >>>

■10/26(日)〜11/01(土) のセキュリティ関連情報

目　次

【1】Apache Tomcatに複数の脆弱性

【2】Mozilla Firefoxに解放済みメモリの使用の脆弱性

【3】Google Chromeに複数の脆弱性

【4】TP-Link製Omadaゲートウェイに複数のOSコマンドインジェクションの脆弱性

【5】NCAが「CSIRTスタータキット V3」を公開

【6】JPCERT/CCが「既知または弱いシークレットを設定したWebアプリケーションの改ざんリスクについて」を公開

【7】JPCERT/CCが「攻撃グループAPT-C-60による攻撃のアップデート」を公開

【1】Apache Tomcatに複数の脆弱性

情報源

https://jvn.jp/vu/JVNVU95235705/

概要

Apache Tomcatには、複数の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。

【2】Mozilla Firefoxに解放済みメモリの使用の脆弱性

情報源

https://www.mozilla.org/en-US/security/advisories/mfsa2025-86/

概要

Mozillaが提供するFirefoxには、解放済みメモリの使用の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。

【3】Google Chromeに複数の脆弱性

情報源

https://chromereleases.googleblog.com/2025/10/stable-channel-update-for-desktop_28.html

概要

Google Chromeには、複数の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。

【4】TP-Link製Omadaゲートウェイに複数のOSコマンドインジェクションの脆弱性

情報源

https://jvn.jp/vu/JVNVU90150763/

概要

TP-LINKが提供するOmadaゲートウェイには、複数のOSコマンドインジェクションの脆弱性があります。この問題は、当該製品を修正済みのファームウェアに更新することで解決します。詳細は、開発者が提供する情報を参照してください。

関連文書

https://support.omadanetworks.com/en/document/108455/

【5】NCAが「CSIRTスタータキット V3」を公開

情報源

https://www.nca.gr.jp/activity/pub_doc/csirtstarterkit.html

概要

一般社団法人日本シーサート協議会（NCA）が、「CSIRTスタータキット V3」を公開しました。CSIRTの新規設立や体制整備を検討している組織向けに必要な規程や手順などについて整理されたガイドとしている、とのことです。

【6】JPCERT/CCが「既知または弱いシークレットを設定したWebアプリケーションの改ざんリスクについて」を公開

情報源

https://www.jpcert.or.jp/newsflash/2025102901.html

概要

JPCERT/CCは、「既知または弱いシークレットを設定したWebアプリケーションの改ざんリスクについて」を公開しました。Webアプリケーションの構築に際し、Webフレームワークなどに推測可能な弱いシークレットなどを設定して本番運用しているサイトが攻撃者の標的となる事案が観測されており、対処を呼び掛けています。

【7】JPCERT/CCが「攻撃グループAPT-C-60による攻撃のアップデート」を公開

情報源

https://blogs.jpcert.or.jp/ja/2025/10/APT-C-60_update.html

概要

JPCERT/CCは、「攻撃グループAPT-C-60による攻撃のアップデート」を公開しました。当攻撃グループに関し昨年11月に公開した情報に続き、今回は2025年6月から8月にかけて確認した攻撃について、前回の観測からのアップデートを中心に解説しています。

■JPCERT/CCからのお願い