はじめに

　2025年も折り返しを迎えたということで、「2025年上半期 人気脆弱性」の発表です！！ 🎉

今回の順位を見ながら

• 「Next.js」や「Vite」のフロントエンドの技術の脆弱性
• 「生成AIが発見した」 Linux SMB のゼロデイの脆弱性

がランクインしており、時代の節目を見ている感（小並感）

2025年 上半期 人気脆弱性 TOP 10 in GitHub

1位 CVE-2025-29927 - Next.js の認可バイパス

• Next.jsの脆弱性CVE-2025-29927まとめ

2位 CVE-2025-24813 - Apache Tomcat partial PUT におけるリモートコード実行、情報漏えいや改ざん

• Apache Tomcat の脆弱性 CVE-2025-24813 の検知と緩和 | Akamai
• CVE-2025-24813 Detection: Apache Tomcat RCE Vulnerability Actively Exploited in the Wild | SOC Prime

3位 CVE-2025-24071 - Microsoft Windows ファイルエクスプローラーのスプーフィング

• CVE-2025-24071 - セキュリティ更新プログラム ガイド - Microsoft - Microsoft Windows ファイル エクスプローラーのスプーフィングの脆弱性
• Windows 11 File Explorer の脆弱性 CVE-2025-24071：NTLM Hash 窃取での悪用と PoC のリリース – IoT OT Security News

4位 CVE-2025-30208 - Vite の任意のファイル読み取り

• Vite の脆弱性 CVE-2025-30208 が FIX：任意のファイル読み取りの PoC も登場 – IoT OT Security News

5位 CVE-2025-33073 - Windows SMB の特権昇格

• CVE-2025-33073: Windows SMBクライアントのゼロデイ脆弱性により攻撃者がSYSTEM権限を取得可能 | SOC Prime

6位 CVE-2025-1974 - Kubernetes 用の Ingress NGINX Controller の リモートコード実行

• Ingress-nginxの脆弱性CVE-2025-1974: 知っておくべきこと | Kubernetes
• IngressNightmare（CVE-2025-1974）の検知と緩和 – Sysdig

7位 CVE-2025-32433 - Erlang/OTP 内の SSH サーバのリモートコード実行

• 【脅威分析レポート】CVE-2025-32433 〜Erlang/OTPのSSH実装における脆弱性、悪用されると認証なしでリモートコード実行（RCE）が可能に〜 | BLOG | サイバーリーズン | EDR（次世代エンドポイントセキュリティ）
• 【セキュリティ ニュース】「Erlang/OTP」に深刻なRCE脆弱性 - 概念実証コードも公開済み（1ページ目 / 全1ページ）：Security NEXT

8位 CVE-2025-37899 - 生成AIが発見した Linux SMB のゼロデイ

• OpenAIのo3モデルでLinuxカーネルのゼロデイ脆弱性を発見した方法とは - GIGAZINE
• Linux SMB のゼロデイ脆弱性 CVE-2025-37899：特定したのは ChatGPT を操る研究者 – IoT OT Security News

9位 CVE-2025-24203 - iOS カーネルのファイルシステムの保護された部分への改変を許す脆弱性

• iOS カーネルの脆弱性 CVE-2025-24203 の PoC 公開：システムをカスタマイズ without ジェイルブレイク – IoT OT Security News

10位 CVE-2025-0282 - Ivanti Connect Secure のリモードコード実行

• Ivanti Connect Secureなどにおける脆弱性（CVE-2025-0282）に関する注意喚起

まとめ

2025年上半期に期待。

個人的には IIJ に影響を与えた Active! mail の脆弱性が印象に残っています。
- IIJセキュアMXサービスにおけるお客様情報の漏えいについてのお詫びとご報告 | IIJについて | IIJ - Active! mailにおけるスタックベースのバッファオーバーフローの脆弱性に関する注意喚起