<<< JPCERT/CC WEEKLY REPORT 2025-12-24 >>>
■12/14(日)〜12/20(土) のセキュリティ関連情報
目 次
【1】Firefoxに複数の脆弱性
【2】Node.jsライブラリ「systeminformation」のfsSize関数にOSコマンドインジェクションの脆弱性
【3】SonicWallのSMA1000シリーズに権限昇格の脆弱性
【4】Cisco Secure Email GatewayおよびCisco Secure Email and Web Managerに不適切な入力確認の脆弱性
【5】Google Chromeに複数の脆弱性
【6】セイコーエプソン製プリンターのWeb Configにスタックベースのバッファオーバーフローの脆弱性
【7】複数のApple製品に脆弱性
【8】IPAが「2025年度 年末年始における情報セキュリティに関する注意喚起」を公開
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/
【1】Firefoxに複数の脆弱性
情報源
https://www.mozilla.org/en-US/security/advisories/mfsa2025-98/
概要
Firefoxには、複数の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
https://www.mozilla.org/en-US/security/advisories/mfsa2025-97/
【2】Node.jsライブラリ「systeminformation」のfsSize関数にOSコマンドインジェクションの脆弱性
情報源
概要
Node.jsライブラリ「systeminformation」のfsSize関数には、OSコマンドインジェクションの脆弱性(CVE-2025-68154)があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
https://github.com/sebhildebrandt/systeminformation/security/advisories/GHSA-wphj-fx3q-84ch
【3】SonicWallのSMA1000シリーズに権限昇格の脆弱性
情報源
https://psirt.global.sonicwall.com/vuln-detail/SNWLID-2025-0019
概要
SonicWallのSMA1000シリーズには、権限昇格の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。複数の海外セキュリティ機関が、本脆弱性と他の脆弱性(CVE-2025-23006)との組み合わせにより、遠隔からroot権限でコード実行を行う悪用事例について言及しています。詳細は、開発者が提供する情報を参照してください。
【4】Cisco Secure Email GatewayおよびCisco Secure Email and Web Managerに不適切な入力確認の脆弱性
情報源
概要
Cisco Secure Email GatewayおよびCisco Secure Email and Web Managerには、不適切な入力確認の脆弱性があります。特定の条件下で利用している場合、遠隔からroot権限で任意のコマンドを実行可能とのことです。なお、Ciscoは前述の条件下で利用される製品が侵害された事例を確認しているとのことです。開発者は、この問題を緩和するための推奨事項を公開しています。詳細は、開発者が提供する情報を参照してください。
関連文書
【5】Google Chromeに複数の脆弱性
情報源
https://chromereleases.googleblog.com/2025/12/stable-channel-update-for-desktop_16.html
概要
Google Chromeには、複数の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。
【6】セイコーエプソン製プリンターのWeb Configにスタックベースのバッファオーバーフローの脆弱性
情報源
概要
セイコーエプソン株式会社が提供する複数のプリンター製品に導入されているWeb Configには、スタックベースのバッファオーバーフローの脆弱性があります。この問題は、当該製品を修正済みのファームウェアに更新することで解決します。なお、開発者は、対策ファームウェアの提供予定のない製品については、ワークアラウンドの適用を強く推奨しています。詳細は、開発者が提供する情報を参照してください。
関連文書
【7】複数のApple製品に脆弱性
情報源
概要
複数のApple製品には、脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。Appleは、今回修正された脆弱性の一部について、特定の個人を標的とした限定的な攻撃で悪用された可能性があるという報告を確認しているとのことです。詳細は、開発者が提供する情報を参照してください。
関連文書
https://support.apple.com/ja-jp/125885
https://support.apple.com/ja-jp/125886
https://support.apple.com/ja-jp/125887
https://support.apple.com/ja-jp/125888
https://support.apple.com/ja-jp/125889
https://support.apple.com/ja-jp/125890
【8】IPAが「2025年度 年末年始における情報セキュリティに関する注意喚起」を公開
情報源
https://www.ipa.go.jp/security/anshin/heads-up/alert20251216.html
概要
独立行政法人情報処理推進機構(IPA)は、「2025年度 年末年始における情報セキュリティに関する注意喚起」を公開しました。年末年始における、個人の利用者、企業や組織の利用者、企業や組織の管理者、それぞれの対象者に対して取るべき対策を説明しています。
■JPCERT/CCからのお願い
-
本レポートに関するお問い合わせは
ew-info@jpcert.or.jp 宛
にお願い致します。ただし、JPCERT/CCでは、提供する情報について具体的な内容そのものについてのご質問にはお答えできない場合もあります。またバックナンバーは、以下のURLからご利用いただけます。
https://www.jpcert.or.jp/wr/ -
本メーリングリストの購読申込や購読停止、また登録した電子メールアドレスの変更などにつきましては、以下のURLを参照してください。
https://www.jpcert.or.jp/announce.html -
JPCERT/CCへのセキュリティインシデントの報告方法については以下のURLを参照してください。
https://www.jpcert.or.jp/form/
前
コメント
共 有
