ISSコラム

Oracle E-Business Suiteのゼロデイ脆弱性 (CVE-2025-61882, CVSS 9.8)【重要度：緊急】

Oracle EBSのコンカレント処理コンポーネントに存在する認証不要のRCEで8月から実際に悪用されており10月に緊急パッチが提供されています。PoC公開済みでCISA KEVに追加されています。関連のSSRF (CVE-2025-61884, CVSS 7.5) も既に悪用の報告がされています。

Windows Server Update Services (WSUS)のRCE (CVE-2025-59287, CVSS 9.8) 【重要度：緊急】

不正デシリアライズに起因しており、PoC公開後に悪用が観測されています。Microsoftは10月23日に臨時パッチを公開をしています。CISA KEVにも追加されていて基盤乗っ取りにより悪性アップデート配信の恐れがあります。

Windows標準モデムドライバ権限昇格ゼロデイ (CVE-2025-24990, CVSS 7.8) 【重要度：高】

レガシーAgereドライバに欠陥があることに起因しており実際の悪用が確認されて10月に削除措置をしています。CISA KEVにも追加されています。

Windows RasManの権限昇格ゼロデイ (CVE-2025-59230, CVSS 7.8)【重要度：緊急】

VPN/ダイヤルアップ管理サービスの欠陥に起因し、実際の悪用が確認されており10月の月例で修正されています。CISA KEVにも追加されています。

Microsoft Excelのメモリ破壊RCE (CVE-2025-59236, CVSS 8.4) 【重要度：緊急】

UAF脆弱性。悪意あるファイルでRCEが可能。ゼロデイとして悪用確認済み悪性XLSがフィッシングで拡散、初期アクセスに利用。PoC/攻撃手口が流通。ユーザーが悪意のあるファイルを開くだけでリモートコード実行（RCE）が可能になるため、即時の対策が推奨されています。

ConnectWise Automateの欠陥 (CVE-2025-11492/11493) 【重要度：重要】

RMM通信のMITMによりアップデートが傍受されたり悪意のある改ざんの恐れがあります。10月中旬に修正。

WatchGuard Fireboxの未認証RCE (CVE-2025-9242) 【重要度：緊急】

10月20日に公表された脆弱性で、IKEv2処理の問題で拠点間をVPN接続する「Branch Office VPN（BOVPN）」やモバイルユーザーによるVPN接続を利用している環境に影響を与えます。また、過去に設定を削除した場合でも脆弱性の影響が残存する場合もあり多数のインターネットの接している機器が影響を受けます。

TP-Link Omada VPNルータのコマンドインジェクション (CVE-2025-6542) 【重要度：緊急】

未認証RCE。10月21日に公表された脆弱性で未認証で悪用が可能。

Rustライブラリ「async-tar」の展開RCE (CVE-2025-62518) 【重要度：高】

async Rust 用のTARにより任意のファイルを書換られる可能性があります。サプライチェーン上の注意喚起がされています。

Control Web Panel (CWP)のRCE (CVE-2025-48703, CVSS 9.8) 【重要度：緊急】

認証を回避して任意コマンドを実行することが可能となります。未パッチCWPが多数検出されています。10月末にCISA KEVに追加されています。

Dassault Systèmes DELMIA Aprisoのチェーン欠陥 (CVE-2025-6204/6205) 【重要度：緊急】

認可不備とコードインジェクションの脆弱性により攻撃者が任意のコードを実行できる可能性があります。10月末にCISA KEVに追加されています。

本コラムについて

インターネットセキュアサービス㈱（以下、ISS）が提供する脆弱性情報は、全ての脆弱性情報を対象にせず、ISSが次の基準で判断しています。

・インターネット上で悪用が確認されている脆弱性

・CVEスコアが低くても対応が必要と判断した脆弱性

・ISSが対応したインシデントの経験から危険性が高いと判断される脆弱性

なお、記載内容は全てを保証するものではありません。

ISSは、皆様のセキュリティ対策のお役に立つ情報を積極的に発信してまいります。