米サイバーセキュリティインフラストラクチャセキュリティ庁（CISA）は、3件の脆弱性が悪用されているとして注意喚起を行った。 現地時間2025年5月15日に脆弱性3件「CVE-2025-4664」「CVE-2025-42999」「CVE-2024-12987」を「悪用が確認された脆弱性カタログ（KEV）」に追加。米国内の行政機関へ対策を促すとともに広く注意を呼びかけた。

河合楽器製作所は、音楽教室の一部会員に対してメールを送信した際、メールアドレスが流出したことを明らかにした。 同社によれば、4月21日9時半ごろ、群馬エリアの音楽教室に在籍する会員にメールで連絡をとる際、誤送信が発生したもの。

横浜みなとみらいホールは、不正アクセスを受け、同施設の代表メールアカウントより迷惑メールが送信されたことを明らかにした。 同ホールによれば、5月12日19時半過ぎから21時半ごろにかけて、代表メールアカウントより意図しないメールが第三者によって送信されたもの。

医療機器専門商社の三笑堂は、ランサムウェアを用いたサイバー攻撃を受けたことを明らかにした。復旧作業を進めている。 同社によれば、5月15日未明にネットワークが外部から侵害されていることが判明。その後、ランサムウェアによる被害であることが確認されたという。

既存のアイデンティティプロバイダ（IdP）を利用して、公開鍵にアイデンティティを結びつけるフレームワーク「OpenPubkey」に脆弱性が明らかとなった。 細工した「JWS（JSON Web Signature）」を用いることで、署名検証をバイパスできる脆弱性「CVE-2025-3757」が報告された。

「Node.js」の開発チームは、現地時間5月14日に複数の脆弱性を修正するセキュリティアップデートを公開した。 ブランチによって影響を受ける脆弱性は異なるが、事前予告が行われた3件の脆弱性に対処している。 「CVE-2025-23166」は、暗号処理中の例外処理に問題があり、プロセスがクラッシュするおそれがある脆弱性。重要度を「高（High）」としており、いずれのブランチも影響を受ける。

SAPは現地時間2025年5月13日、月例のセキュリティパッチをリリースした。「クリティカル」とされる脆弱性も含まれる。 あらたに16件のセキュリティアドバイザリを公開するとともに、既存のアドバイザリ2件のアップデートを発表した。

Appleは2025年5月13日、セキュリティアップデート「macOS Sequoia 15.5」「同Sonoma 14.7.6」「同Ventura 13.7.6」をリリースした。 今回のアップデートでは、「同Sequoia 15.5」においてCVEベースで50件の脆弱性に対応している。

マイクロソフトは、ゼロデイ脆弱性に対処した同社ブラウザ「Microsoft Edge」の最新版をリリースした。 「Chromium 136.0.7103.113」がリリースされたことを受け、同バージョンをベースとする「Microsoft Edge 136.0.3240.76」をリリースしたもの。

段ボールや紙製品を中心とした総合包装メーカーであるトーモクは、同社グループの一部サーバがランサムウェアによるサイバー攻撃を受けたことを明らかにした。 同社によれば、5月3日に同社グループの一部サーバがランサムウェアによるサイバー攻撃を受け、暗号化される被害が発生したという。

Googleは現地時間5月14日、同社ブラウザ「Chrome」のセキュリティアップデートをリリースした。一部はすでに悪用が確認されている。 今回のアップデートでは、WindowsおよびmacOS向けに「Chrome 136.0.7103.114」「同136.0.7103.113」、Linux向けに「同136.0.7103.113」をリリースした。

また「FortiOS」の「Security Fabric」におけるサービス拒否の脆弱性「CVE-2025-47294」や、細工したリクエストにより「FGFMデーモン」がクラッシュする「CVE-2025-47295」などについてもアドバイザリを公表した。重要度をそれぞれ「中（Medium）」「低（Low）」としている。