脆弱性速報
実際に悪用されている脆弱性(CISA KEV)を新着順に。各CVEに悪用確率(EPSS)と深刻度(CVSS)を添え、「今すぐ直すべきか」を防御目線で判断できるようにしたフィードです。
Cisco Catalyst SD-WAN ソフトウェアの脆弱性により、認証されていないリモート攻撃者が影響を受けるシステム上の機密情報を閲覧することができる可能性があります。 この脆弱性は、ファイルシステムの制限が不十分であることが原因です。netadmin権限を持つ認証済み攻撃者は、影響を受けるシステムの vshell にアクセスすることでこの脆弱性を悪用することができます。攻撃が成功した場合、攻撃者は基盤となるオペレーティングシステム上の機密情報を読み取ることができる可能性があります。
KEV掲載: 2026-04-20公式(NVD) →Cisco Catalyst SD-WAN Manager のデータ収集エージェント (DCA) 機能における脆弱性により、認証されていないリモート攻撃者が影響を受けるシステムで DCA ユーザー権限を取得する可能性があります。 この脆弱性は、影響を受けるシステムに DCA ユーザーの認証情報ファイルが存在することが原因です。攻撃者は細工された HTTP リクエストを送信し、影響を受けるシステムから DCA パスワードが含まれるファイルを読み取ることで、この脆弱性を悪用できます。悪用に成功した場合、攻撃者は別の影響を受けるシステムにアクセスし、DCA ユーザー権限を取得する可能性があります。 注記: Cisco Catalyst SD-WAN Manager リリース 20.18 以降は、この脆弱性の影響を受けません。
KEV掲載: 2026-04-20公式(NVD) →Cisco Catalyst SD-WAN ManagerのAPI脆弱性により、認証済みのリモート攻撃者がローカルファイルシステム上の任意のファイルを上書きする可能性があります。この脆弱性を悪用するには、攻撃者が影響を受けたシステムのAPI アクセス権を持つ有効な読み取り専用認証情報を保有する必要があります。 この脆弱性は、影響を受けるシステムのAPIインターフェース上での不適切なファイル処理に起因しています。攻撃者は、ローカルファイルシステムへの悪意のあるファイルのアップロードにより、この脆弱性を悪用する可能性があります。悪用に成功した場合、攻撃者は影響を受けたシステム上の任意のファイルを上書きし、vmanageユーザー権限を取得する可能性があります。
KEV掲載: 2026-04-20公式(NVD) →Apache ActiveMQ BrokerおよびApache ActiveMQにおける入力値の不適切な検証および'コード注入'に関するコード生成制御の不適切な実装の脆弱性。 Apache ActiveMQ ClassicはWebコンソール上の/api/jolokia/にJolokia JMX-HTTPブリッジを公開しています。デフォルトのJolokiaアクセスポリシーはすべてのActiveMQ MBeans(org.apache.activemq:*)に対するexec操作を許可しており、これにはBrokerService.addNetworkConnector(String)およびBrokerService.addConnector(String)が含まれます。 認証された攻撃者は、ResourceXmlApplicationContextを使用してリモートSpring XMLアプリケーションコンテキストを読み込むようにトリガーするVM transportのbrokerConfigパラメータを含む細工されたディスカバリーURIでこれらの操作を呼び出すことができます。 SpringのResourceXmlApplicationContextはBrokerServiceが設定を検証する前にすべてのシングルトンBeanをインスタンス化するため、Runtime.exec()などのBeanファクトリメソッドを通じてBrokerのJVM上で任意のコード実行が発生します。 この問題はApache ActiveMQ Broker 5.19.4より前、6.0.0から6.2.3より前;Apache ActiveMQ All 5.19.4より前、6.0.0から6.2.3より前;Apache ActiveMQ 5.19.4より前、6.0.0から6.2.3より前に影響します。 ユーザーはバージョン5.19.4または6.2.3へのアップグレードが推奨されます。これらはこの問題を修正しています。
KEV掲載: 2026-04-16公式(NVD) →Microsoft Office Excel 2000 SP3、2002 SP3、2003 SP3、および2007 SP1、Excel Viewer 2003 Gold および SP3、Excel Viewer、Word、Excel、および PowerPoint 2007 ファイル形式用互換パック SP1、ならびに Mac 用 Microsoft Office 2004 および 2008 の Excel により、細工されたExcel ドキュメントが無効なオブジェクトへのアクセス試行をトリガーする場合、リモート攻撃者が任意のコードを実行可能になります。この脆弱性は 2009 年 2 月に Trojan.Mdropper.AC により実際に悪用されました。
KEV掲載: 2026-04-14公式(NVD) →Microsoft Office SharePointの不適切な入力検証により、認可されていない攻撃者がネットワーク経由でスプーフィング攻撃を実行できます。
KEV掲載: 2026-04-14公式(NVD) →Fortinet FortiClientEMS 7.4.4にあるSQL コマンドで使用される特殊要素の不適切なニュートラライゼーション(SQLインジェクション)脆弱性により、認証されていない攻撃者が特別に細工されたHTTPリクエストを介して、不正なコードまたはコマンドを実行できる可能性があります。
KEV掲載: 2026-04-13公式(NVD) →Adobe AcrobatおよびReaderのバージョン2020.009.20074以前、2020.001.30002、2017.011.30171以前、および2015.006.30523以前には、use-after-freeの脆弱性が存在します。悪用に成功した場合、任意のコード実行につながる可能性があります。
KEV掲載: 2026-04-13公式(NVD) →Microsoft Exchange Serverリモートコード実行の脆弱性
KEV掲載: 2026-04-13公式(NVD) →Windows Tasksのホストプロセスにおけるファイルアクセス前の不適切なリンク解決(リンク追跡)により、認可されたユーザーがローカルで権限昇格を実行することが可能です。
KEV掲載: 2026-04-13公式(NVD) →Acrobat Reader のバージョン 24.001.30356、26.001.21367 以前は、オブジェクトプロトタイプ属性の不適切に制御された変更(「プロトタイプポルーション」)の脆弱性の影響を受けます。この脆弱性により、現在のユーザーのコンテキストで任意のコード実行が可能になる可能性があります。この問題の悪用には、被害者が悪意のあるファイルを開く必要があるというユーザーとの相互作用が必要です。
KEV掲載: 2026-04-13公式(NVD) →Windowsコモンログファイルシステムドライバ権限昇格脆弱性
KEV掲載: 2026-04-13公式(NVD) →Microsoft Office 2003 SP3、2007 SP2および SP3、2010 Gold および SP1、Microsoft Visual Basic for Applications (VBA)、および Summit Microsoft Visual Basic for Applications SDK の VBE6.dll における信頼されないサーチパスの脆弱性により、ローカルユーザーが現在の作業ディレクトリ内のトロイの木馬 DLL を介して権限を獲得される可能性があります。.docx ファイルを含むディレクトリによって実証された、「Visual Basic for Applications の不安全なライブラリロード脆弱性」として知られており、2012年7月に野生での悪用が確認されました。
KEV掲載: 2026-04-13公式(NVD) →Ivanti Endpoint Manager Mobileのコード注入脆弱性により、攻撃者が認証なしでリモートコード実行を達成することが可能。
KEV掲載: 2026-04-08公式(NVD) →Fortinet FortiClientEMS 7.4.5~7.4.6における不適切なアクセス制御の脆弱性により、認証されていない攻撃者が細工されたリクエストを介して不正なコードまたはコマンドを実行される可能性があります。
KEV掲載: 2026-04-06公式(NVD) →TrueConf Clientはアプリケーション更新コードをダウンロードし、検証を行わずに適用します。更新配信パスに影響を与えることができる攻撃者は、改ざんされた更新ペイロードに置き換えることができます。ペイロードがアップデータによって実行またはインストールされた場合、更新プロセスまたはユーザーのコンテキストで任意のコード実行が発生する可能性があります。
KEV掲載: 2026-04-02公式(NVD) →Google Chromeの146.0.7680.178より前のDawnにおけるUse after freeにより、レンダラープロセスを侵害した遠隔の攻撃者は、細工されたHTMLページを介して任意のコードを実行することができました。(Chromiumセキュリティ深刻度: 高)
KEV掲載: 2026-04-01公式(NVD) →NetScalerADCおよびNetScalerGatewayがSAML IDPとして構成された場合における不十分なインプット検証に起因するメモリオーバーリード
KEV掲載: 2026-03-30公式(NVD) →BIG-IP APM アクセスポリシーが仮想サーバーに設定されている場合、特定の悪意のあるトラフィックがリモートコード実行(RCE)につながる可能性があります。 注記:技術サポート終了(EoTS)に達したソフトウェアバージョンは評価対象外です。
KEV掲載: 2026-03-27公式(NVD) →Trivyはセキュリティスキャナーです。2026年3月19日、脅威アクターが侵害された認証情報を使用して悪意のあるTrivy v0.69.4リリースを公開し、`aquasecurity/trivy-action`の77個中76個のバージョンタグを認証情報窃取型マルウェアに強制プッシュし、`aquasecurity/setup-trivy`の全7個のタグを悪意のあるコミットに置き換えました。このインシデントは2026年2月後半に始まったサプライチェーン攻撃の継続です。3月1日の初期開示に続いて認証情報のローテーションが実行されましたが、アトミックではありませんでした(全ての認証情報が同時に失効しませんでした)。攻撃者は有効なトークンを使用してローテーション期間(数日間続きました)中に新たにローテーションされたシークレットを流出させることができた可能性があります。これにより攻撃者がアクセスを保持し3月19日の攻撃を実行することが可能になった可能性があります。影響を受けるコンポーネントには、`aquasecurity/trivy` Go/コンテナイメージバージョン0.69.4、`aquasecurity/trivy-action` GitHubアクション バージョン0.0.1~0.34.2(76/77)、および`aquasecurity/setup-trivy` GitHubアクション バージョン0.2.0~0.2.6(安全なコミットで再作成された0.2.6より前)が含まれます。既知の安全なバージョンにはTrivyバイナリのバージョン0.69.2および0.69.3、trivy
KEV掲載: 2026-03-26公式(NVD) →Langflowは、AI駆動のエージェントとワークフローを構築・デプロイするためのツールです。1.9.0より前のバージョンでは、POST /api/v1/build_public_tmp/{flow_id}/flowエンドポイントは認証を必要とせずにパブリックフローの構築を許可しています。オプションのdataパラメータが指定された場合、このエンドポイントはデータベースに格納されているフローデータの代わりに攻撃者が制御可能なフローデータ(ノード定義に含まれた任意のPythonコード)を使用します。このコードはサンドボックス化されないままexec()に渡され、認証不要なリモートコード実行が発生します。これはCVE-2025-3248とは別の問題です。CVE-2025-3248は/api/v1/validate/codeに認証を追加することで修正されました。build_public_tmpエンドポイントはパブリックフロー向けに認証なしで設計されていますが、誤って任意の実行可能コードを含む攻撃者供給のフローデータを受け入れています。この問題はバージョン1.9.0で修正されました。
KEV掲載: 2026-03-25公式(NVD) →Craftは、ウェブおよび他のプラットフォーム上でカスタムデジタルエクスペリエンスを作成するための柔軟でユーザーフレンドリーなCMSです。バージョン3.0.0-RC1から3.9.15未満、4.0.0-RC1から4.14.15未満、および5.0.0-RC1から5.6.17未満の間で、Craftはリモートコード実行の脆弱性に対して脆弱です。これは影響度が高く、複雑性が低い攻撃ベクトルです。この問題はバージョン3.9.15、4.14.15、および5.6.17で修正されており、CVE-2023-41892の追加的な修正です。
KEV掲載: 2026-03-20公式(NVD) →Livewireはlaravel向けのフルスタックフレームワークです。Livewire v3からv3.6.3までのバージョンで、特定のシナリオにおいて認証されていない攻撃者がリモートコマンド実行を達成することを可能にする脆弱性が存在します。この問題は、特定のコンポーネントプロパティ更新がどのようにハイドレート(復元)されるかに起因しています。この脆弱性はLivewire v3に固有であり、それより前のメジャーバージョンには影響しません。悪用するには、コンポーネントが特定の方法でマウントおよび設定されている必要がありますが、認証やユーザーインタラクションは不要です。この問題はLivewire v3.6.4で修正されています。すべてのユーザーは、できるだけ早くこのバージョン以降にアップグレードすることを強くお勧めします。既知の回避策はありません。
KEV掲載: 2026-03-20公式(NVD) →このセキュリティ問題は、改善されたメモリ管理により対処されました。この問題は Safari 18.6、iOS 18.6、iPadOS 18.6、macOS Sequoia 15.6、tvOS 18.6、visionOS 2.6、watchOS 11.6 で修正されています。悪意を持って作成された Web コンテンツの処理により、メモリ破損が発生する可能性がありました。
KEV掲載: 2026-03-20公式(NVD) →メモリ破損の問題がロック状態チェックの改善で対処されました。この問題はiOS 18.7.2およびiPadOS 18.7.2、iOS 26.1およびiPadOS 26.1、macOS Sequoia 15.7.2、macOS Sonoma 14.8.2、macOS Tahoe 26.1、tvOS 26.1、visionOS 26.1、watchOS 26.1で修正されています。悪意のあるアプリケーションがプロセス間で共有されるメモリに予期しない変更を引き起こす可能性があります。
KEV掲載: 2026-03-20公式(NVD) →メモリ破損の問題がメモリ処理の改善により解決されました。この問題はiOS 18.7.2およびiPadOS 18.7.2、iOS 26.1およびiPadOS 26.1、macOS Sequoia 15.7.2、macOS Sonoma 14.8.2、macOS Tahoe 26.1、tvOS 26.1、visionOS 26.1、watchOS 26.1で修正されています。悪意のあるアプリケーションが予期しないシステム終了またはカーネルメモリへの書き込みを引き起こす可能性があります。
KEV掲載: 2026-03-20公式(NVD) →Cisco Secure Firewall Management Center(FMC)ソフトウェアのWebベース管理インターフェースの脆弱性により、認証されていないリモート攻撃者が影響を受けるデバイス上でrootとして任意のJavaコードを実行できる可能性があります。 この脆弱性は、ユーザーが供給するJavaバイトストリームの安全でないデシリアライゼーションが原因です。攻撃者は、細工されたシリアライズされたJavaオブジェクトを影響を受けるデバイスのWebベース管理インターフェースに送信することで、この脆弱性を悪用できます。悪用が成功した場合、攻撃者はデバイス上で任意のコードを実行し、権限をrootに昇格させることができます。 注記:FMC管理インターフェースがパブリックインターネットアクセスを持たない場合、この脆弱性に関連する攻撃面は軽減されます。
KEV掲載: 2026-03-19公式(NVD) →Microsoft Office SharePointにおける信頼されていないデータの逆シリアル化により、権限のない攻撃者がネットワーク経由でコードを実行することが可能になります。
KEV掲載: 2026-03-18公式(NVD) →Zimbra Collaboration (ZCS) 10 (10.0.18より前)および10.1 (10.1.13より前)では、HTMLメールメッセージ内のカスケーディングスタイルシート(CSS)の@importディレクティブを介して、Classic UI に保存型XSSが発生する可能性があります。
KEV掲載: 2026-03-18公式(NVD) →Wing FTP Serverバージョン7.4.4より前のloginok.htmlは、UIDクッキーに長い値を使用した場合、アプリケーションの完全なローカルインストールパスを開示します。
KEV掲載: 2026-03-16公式(NVD) →Google Chromeの146.0.7680.75より前のV8における不適切な実装により、リモート攻撃者が細工されたHTMLページを介してサンドボックス内で任意のコードを実行することが可能でした。(Chromiumセキュリティ重大度:高)
KEV掲載: 2026-03-13公式(NVD) →Google Chrome 146.0.7680.75より前のSkiaにおけるバッファオーバーフローの脆弱性により、リモート攻撃者が細工されたHTMLページを通じてメモリ領域外への書き込みが可能になります。(Chromiumセキュリティ重要度: 高)
KEV掲載: 2026-03-13公式(NVD) →n8nはオープンソースのワークフロー自動化プラットフォームです。バージョン0.211.0以降1.120.4、1.121.1、1.122.0未満には、ワークフロー式評価システムに重大なリモートコード実行(RCE)脆弱性が存在します。特定の条件下では、認証済みユーザーがワークフロー設定中に提供する式が、基盤となるランタイムから十分に隔離されていない実行コンテキストで評価される可能性があります。認証済み攻撃者はこの動作を悪用して、n8nプロセスの権限で任意のコードを実行できます。悪用に成功すると、影響を受けるインスタンスの完全な侵害につながる可能性があり、機密データへの不正アクセス、ワークフローの改ざん、システムレベルの操作の実行が含まれます。この問題はバージョン1.120.4、1.121.1、1.122.0で修正されています。ユーザーは式評価を制限するための追加的なセーフガードを導入したパッチ版へのアップグレードを強く推奨されます。すぐにアップグレードできない場合、管理者は以下の一時的な緩和策の検討を推奨されます。ワークフローの作成および編集権限を完全に信頼できるユーザーのみに制限する、または/かつn8nを制限されたオペレーティングシステム権限とネットワークアクセスを持つ強化された環境にデプロイして、潜在的な悪用の影響を軽減する。これらの対応策は完全にはリスクを
KEV掲載: 2026-03-11公式(NVD) →VMware Workspace ONE UEM コンソール 20.0.8(20.0.8.37 未満)、20.11.0(20.11.0.40 未満)、21.2.0(21.2.0.27 未満)、および 21.5.0(21.5.0.37 未満)に SSRF 脆弱性が存在します。この問題により、UEM へのネットワークアクセスを持つ悪意のある攻撃者が認証なしでリクエストを送信し、機密情報にアクセスすることが可能になる恐れがあります。
KEV掲載: 2026-03-09公式(NVD) →Ivanti Endpoint Manager 2024 SU5より前のバージョンにおける認証回避の脆弱性により、リモートの認証されていない攻撃者が保存された特定の認証情報データを漏洩させることができます。
KEV掲載: 2026-03-09公式(NVD) →SolarWinds Web Help Deskに認証なしのAjaxProxyデシリアライゼーションリモートコード実行脆弱性が発見されました。この脆弱性を悪用されると、攻撃者はホストマシン上でコマンドを実行できます。この脆弱性はCVE-2024-28988のパッチ回避であり、さらにCVE-2024-28986のパッチ回避でもあります。
KEV掲載: 2026-03-09公式(NVD) →Hikivisionの複数シリーズ(DS-2CD2xx2F-I、DS-2CD2xx0F-I、DS-2CD2xx2FWD、DS-2CD4x2xFWD、DS-2CD4xx5、DS-2DFx、DS-2CD63xx)に不正な認証(Improper Authentication)の脆弱性が発見されました。影響を受けるバージョンはDS-2CD2xx2F-IシリーズV5.2.0ビルド140721~V5.4.0ビルド160530、DS-2CD2xx0F-IシリーズV5.2.0ビルド140721~V5.4.0ビルド160401、DS-2CD2xx2FWDシリーズV5.3.1ビルド150410~V5.4.4ビルド161125、DS-2CD4x2xFWDシリーズV5.2.0ビルド140721~V5.4.0ビルド160414、DS-2CD4xx5シリーズV5.2.0ビルド140721~V5.4.0ビルド160421、DS-2DFxシリーズV5.2.0ビルド140805~V5.4.5ビルド160928、およびDS-2CD63xxシリーズV5.0.9ビルド140305~V5.3.5ビルド160106です。この脆弱性は、アプリケーションがユーザーの認証を適切に、または正しく実施しない場合に発生します。これにより、悪意のある利用者がシステム上の権限を昇格させ、機密情報にアクセスすることが可能になる可能性があります。
KEV掲載: 2026-03-05公式(NVD) →Rockwell Automation Studio 5000 Logix Designer バージョン21以降およびRSLogix 5000 バージョン16~20は、Logixコントローラーが Rockwell Automation CompactLogix 1768、1769、5370、5380、5480、ControlLogix 5550、5560、5570、5580、DriveLogix 5560、5730、1794-L34、Compact GuardLogix 5370、5380、GuardLogix 5570、5580、SoftLogix 5800と通信していることを検証するための鍵を使用しています。Rockwell Automation Studio 5000 Logix Designer バージョン21以降およびRSLogix 5000 バージョン16~20は脆弱であり、認証されていない攻撃者がこの検証メカニズムをバイパスして、Rockwell Automation CompactLogix 1768、1769、5370、5380、5480、ControlLogix 5550、5560、5570、5580、DriveLogix 5560、5730、1794-L34、Compact GuardLogix 5370、5380、GuardLogix 5570、5580、SoftLogix 5800に対して認証することが可能です。
KEV掲載: 2026-03-05公式(NVD) →use-after-free問題がメモリ管理の改善により対処されました。この問題はmacOS Ventura 13.5、iOS 16.6およびiPadOS 16.6、Safari 16.6、iOS 15.8.7およびiPadOS 15.8.7で修正されています。悪意を持って細工されたウェブコンテンツを処理すると、メモリ破損につながる可能性があります。
KEV掲載: 2026-03-05公式(NVD) →整数オーバーフローが改善された入力検証で対処されました。この問題はtvOS 15.2、macOS Monterey 12.1、Safari 15.2、iOS 15.2およびiPadOS 15.2、watchOS 8.3で修正されています。悪意を持って作成されたウェブコンテンツの処理により、任意のコード実行につながる可能性があります。
KEV掲載: 2026-03-05公式(NVD) →
優先度 = KEV(実際に悪用中) + EPSS(30日内に悪用される確率) + CVSS(深刻度) の合成。防御目的のフィードで、攻撃コードやPoCは扱いません。各CVEの詳細は公式(NVD)へリンクします。