「Erlang/OTP」「RoundCube」の既知脆弱性が標的に - 米当局が注意喚起
米当局は、開発言語「Erlang」のライブラリや、ウェブメール「RoundCube」などの既知脆弱性が悪用されているとして注意喚起を行った。
米サイバーセキュリティインフラストラクチャセキュリティ庁(CISA)が現地時間2025年6月9日、「悪用が確認された脆弱性カタログ(KEV)」に2件の脆弱性をあらたに登録したもの。米国内の行政機関へ対応を求めるとともに、広く注意喚起を行った。
ひとつは、開発言語「Erlang」のライブラリ群「Erlang/OTP」に確認された脆弱性「CVE-2025-32433」。同ライブラリ内の「SSHサーバ」における認証不備の脆弱性で、悪用されると任意のコマンドが実行可能。実証コードも公開されている。
ウェブメール「RoundCube」では、クロスサイトスクリプティング(XSS)の脆弱性「CVE-2024-42009」の悪用が確認された。細工されたメールによってメール受信者のセッションを乗っ取り、メールを盗聴したり、第三者に転送することが可能になる。
今回リストへの登録はなかったが、「RoundCube」に関しては、危険性が高い別の脆弱性「CVE-2025-49113」も判明しており、あわせて注意が必要となる。
(Security NEXT - 2025/06/10 )
ツイート
PR
関連記事
QNAP、アドバイザリ9件を公開 - 複数脆弱性を修正
アプリ生成「Lovable」に脆弱性 - 生成プロジェクトに影響
掲示板ツール「vBulletin」に深刻な脆弱性 - 実証コードや悪用も
バックアップストレージ用ソフト「HPE StoreOnce」に複数脆弱性
「Roundcube」脆弱性、詳細やPoCが公開予定 - 早急に対応を
Auth0の複数SDKに脆弱性 - 細工Cookieでコード実行のおそれ
米CISA、「Chromium」脆弱性の悪用に注意喚起 - 派生ブラウザも警戒を
「MS Edge」にアップデート - ゼロデイ脆弱性を解消
監視ソフト「IBM Tivoli Monitoring」にRCE脆弱性 - 早急に更新を
「Cisco ISE」クラウド版に深刻な脆弱性 - ホットフィクスを公開
