セキュリティ研究者のドヨン・パーク氏が、CosmosのCometBFTでCVSS 7.1のゼロデイを開示し、同期中に潜在的なノードのフリーズを引き起こす可能性があるとした。ベンダーの抵抗、ダウングレード、そして開示により4月21日に公表された。バリデーターはパッチ適用前に再起動を避けるべきである。 要旨：セキュリティ研究者のドヨン・パーク氏は、CosmosのCometBFTコンセンサス層における重要なCVSS 7.1のゼロデイ脆弱性を開示した。この脆弱性は、ブロック同期の間にノードをフリーズさせる可能性があり、$8 billionドル相当の資産を担保するネットワークに影響する恐れがある。脆弱性は直接的に資金を盗むことはできない。パーク氏は2月22日から協調的開示を進めたが、パブリック開示に対するベンダーの抵抗と、HackerOne側の問題に直面した。ベンダーは関連する脆弱性 (CVE-2025-24371) を3月6日に「インフォメーショナル」としてダウングレードした。これを受けて、パーク氏は4月21日のパブリック開示の前に、ネットワークレベルの概念実証を公開した。勧告では、Cosmosのバリデーターはパッチがリリースされるまでノードを再起動しないよう求めている。すでにコンセンサスにあるノードは継続して稼働できるが、再起動して再同期に入ると、悪意あるピアによる攻撃にさらされ、デッドロックのリスクがあるとされる。

慢雾チームの研究員は、AnthropicのClaude Codeに権限昇格とコマンド実行の脆弱性CVE-2025-64755が存在することを発見しました。攻撃者は未承認でコマンドを実行でき、関連するPoCが公開されており、ハッカーはこの脆弱性を利用して暗号化されたユーザーを攻撃しています。

最近、Reactサーバーコンポーネントで明らかになった高リスクのセキュリティ脆弱性が業界の警戒を高めています。この脆弱性はCVE-2025-55182として登録され、React2Shellとも呼ばれ、複数の脅威組織によって実際に悪用されており、暗号通貨プラットフォームを含む数千のウェブサイトに影響を与え、ユーザー資産の安全性が直接的に危険にさらされています。 この脆弱性により、攻撃者は認証なしで影響を受けたサーバーにリモートコードを実行できるようになります。React公式は12月3日にこの問題を公開し、その重大度を最高レベルに分類しました。その後、Googleの脅威情報チーム（GTIG）は、この脆弱性が実環境で迅速に武器化されていることを確認しており、利益追求を目的とするハッカーだけでなく、国家支援の攻撃と疑われる動きも存在し、対象はクラウド展開されている未修正のReactとNext.jsアプリケーションに集中しています。

最近、暗号資産ユーザーを対象としたフロントエンド攻撃が急速に拡大しています。ネットセキュリティの非営利団体セキュアアライアンス（SEAL）が明らかにしたところによると、ハッカーはオープンソースのフロントエンドJavaScriptライブラリReactの新たに発見された脆弱性を悪用し、正規のウェブサイトに暗号資産窃取プログラムを埋め込む攻撃を行っており、攻撃事例が著しく増加しています。 Reactは現在最も主流のWebフロントエンドフレームワークの一つであり、さまざまなウェブサイトやWebアプリケーションの構築に広く利用されています。12月3日、React公式は、ホワイトハッカーのLachlan Davidsonが発見した深刻なセキュリティ脆弱性、CVE-2025-55182を公開しました。この脆弱性は、認証なしのリモートコード実行を許可し、攻撃者はこれを利用してウェブサイトのフロントエンドに悪意のあるコードを注入・実行することが可能です。