はじめに

• 自身なりに気になったセキュリティ情報の 私のメモ です
• 毎週日曜日起点で作成し、土曜日まで、その週の記事を更新し続けます
  • zennでの公開は、翌週の記事を作成したタイミングで実施します。ただし、GitHub上では常にpublicです。そのため、zenn上で未公開でも、GitHub上では確認 はできます。
• あくまで、発見した週に記入します(タイトルが近い場合は、最初に見つけた週)
  • 1週間以上前の出来事は、極力日付を入れる気持ちではいますが、確実性はありません
  • 今週にhinoshibaが見つけたニュースである事に留意ください
• 実質的には、セキュリティは楽しいかね？ Part 2 のような事ができるようになったらいいなと、個人的に真似をして、個人的に漏れチェック等に使います

事件事故

攻撃、脅威

• CloudflareのchallengeをもしたClickFix
  • https://www.securityweek.com/clickfix-attack-exploits-fake-cloudflare-turnstile-to-deliver-malware/

脆弱性

• CVE-2025-40909 Perl レースコンディション
  • https://securityonline.info/cve-2025-40909-perl-threads-vulnerability-exposes-file-operation-race-condition/
• CVE-2025-25022 IBM QRadar 未認証の権限昇格の可能性
  • https://securityonline.info/critical-cvss-9-6-ibm-qradar-cloud-pak-security-flaws-exposed/
• CVE-2025-49113 CVE-2025-49113 Roundcube RCE
  • https://thehackernews.com/2025/06/critical-10-year-old-roundcube-webmail.html
• CVE-2025-5419 Google Chrome 細工されたHTMLにより領域外書き込み。RCEの可能性。すでに利用されている様子
  • https://thehackernews.com/2025/06/new-chrome-zero-day-actively-exploited.html
  • https://securityonline.info/chrome-zero-day-alert-cve-2025-5419-actively-exploited-in-the-wild/
• CVE-2025-49113: Roundcube RCE
  • https://securityonline.info/cve-2025-49113-roundcube-rce-exploit-unveiled-the-swiss-army-knife-of-webmail-just-got-a-weaponized-blade/
• CVE-2025-20286 Cisco ISE 未認証のあくせす
  • https://securityonline.info/critical-cisco-ise-cloud-vulnerability-cvss-9-9-with-poc-exploit-threatens-aws-azure-oci/
• CVE-2025-31650 5月のApache TomcatのDoS脆弱性。PoC
  • https://www.exploit-db.com/exploits/52318

KEV

• CVE-2025-21479 Qualcomm Multiple Chipsets Incorrect Authorization Vulnerability
• CVE-2025-21480 Qualcomm Multiple Chipsets Incorrect Authorization Vulnerability
• CVE-2025-27038 Qualcomm Multiple Chipsets Use-After-Free Vulnerability
• CVE-2025-5419 Google Chromium V8 Out-of-Bounds Read and Write Vulnerability

その他

• MicrosoftとCrowdstrikeが特定攻撃グループの名称を一本化する営みを開始する
  • https://www.bleepingcomputer.com/news/security/microsoft-and-crowdstrike-partner-to-link-hacking-group-names/
• Microsoft inetpubフォルダを誤って削除した場合の復旧スクリプトを配布
  • https://www.bleepingcomputer.com/news/microsoft/microsoft-shares-script-to-restore-inetpub-folder-you-shouldnt-delete/