脆弱性速報
実際に悪用されている脆弱性(CISA KEV)を新着順に。各CVEに悪用確率(EPSS)と深刻度(CVSS)を添え、「今すぐ直すべきか」を防御目線で判断できるようにしたフィードです。
vCenterサーバーのDCERPCプロトコル実装にヒープオーバーフロー脆弱性が存在します。vCenterサーバーへのネットワークアクセス権を持つ悪意のあるアクターが特別に細工されたネットワークパケットを送信することで、この脆弱性をトリガーし、リモートコード実行につながる可能性があります。
KEV掲載: 2026-01-23公式(NVD) →Versa Concerto SD-WAN オーケストレーション プラットフォームは、Traefik リバース プロキシ設定における認証バイパスの脆弱性を有しており、攻撃者が管理エンドポイントにアクセスすることを可能にします。内部 Actuator エンドポイントは、ヒープ ダンプとトレース ログへのアクセスに悪用される可能性があります。この問題は Concerto 12.1.2 から 12.2.0 までのバージョンに影響することが判明しています。追加のバージョンも脆弱である可能性があります。
KEV掲載: 2026-01-22公式(NVD) →Viteはjavascript用フロントエンドツールフレームワークです。Viteは?inline&importまたは?raw?importを使用して、許可されていないファイルのコンテンツを露出させます。--hostまたはserver.host設定オプションを使用してVite開発サーバーをネットワークに明示的に露出させているアプリケーションのみが影響を受けます。この脆弱性は6.2.4、6.1.3、6.0.13、5.4.16、および4.5.11で修正されています。
KEV掲載: 2026-01-22公式(NVD) →Zimbra Collaboration (ZCS) 10.0および10.1のWebmail Classic UIに、RestFilterサーブレットにおけるユーザー提供リクエストパラメータの不適切な処理が原因となるLocal File Inclusion (LFI)脆弱性が存在します。認証されていないリモート攻撃者は、/h/restエンドポイントへのリクエストを細工して内部リクエストディスパッチに影響を与え、WebRootディレクトリから任意のファイルをインクルードすることができます。
KEV掲載: 2026-01-22公式(NVD) →eslint-config-prettier 8.10.1、9.1.1、10.1.6、10.1.7にはサプライチェーン攻撃を目的とした悪意のあるコードが組み込まれています。影響を受けたパッケージをインストールすると、install.jsファイルが実行され、Windowsでnode-gyp.dllマルウェアが起動します。
KEV掲載: 2026-01-22公式(NVD) →Cisco Unified Communications Manager(Unified CM)、Cisco Unified Communications Manager Session Management Edition(Unified CM SME)、Cisco Unified Communications Manager IM & Presence Service(Unified CM IM&P)、Cisco Unity Connection、およびCisco Webex Calling Dedicated Instanceの脆弱性により、認証されていないリモート攻撃者が影響を受けるデバイスの基盤となるオペレーティングシステム上で任意のコマンドを実行できる可能性があります。 この脆弱性は、HTTPリクエストのユーザー入力の不適切な検証が原因です。攻撃者は、影響を受けるデバイスのWebベースの管理インターフェースに細工されたHTTPリクエストのシーケンスを送信することでこの脆弱性を悪用できます。悪用が成功した場合、攻撃者は基盤となるオペレーティングシステムへのユーザーレベルのアクセスを取得した後、特権をrootに昇格させることができます。 注:Ciscoはこのセキュリティアドバイザリにセキュリティインパクト評価(SIR)としてHighではなくCriticalを割り当てています。その理由は、この脆弱性の悪用により、攻撃者が特権をrootに昇格させる可能性があるためです。
KEV掲載: 2026-01-21公式(NVD) →Desktop Windows Manager の脆弱性により、認可された攻撃者がローカルで情報を開示できるようになり、機密情報が認可されていない者に暴露される可能性があります。
KEV掲載: 2026-01-13公式(NVD) →Gogsの PutContents APIにおける不適切なシンボリックリンク処理により、ローカルコード実行が可能になります。
KEV掲載: 2026-01-12公式(NVD) →HPE OneViewにリモートコード実行の脆弱性が存在します。
KEV掲載: 2026-01-07公式(NVD) →Microsoft Office PowerPoint 2000 SP3、2002 SP3、2003 SP3、および Microsoft Office 2004 for Mac のPowerPointは、無効なインデックス値を含むOutlineTextRefAtomを持つPowerPointファイルを通じて、メモリ破損をトリガーし、リモート攻撃者が任意のコードを実行することを許可します。2009年4月にExploit:Win32/Apptom.genによって野生で悪用されました。「メモリ破損の脆弱性」としても知られています。
KEV掲載: 2026-01-07公式(NVD) →Zlibで圧縮されたプロトコルヘッダーの長さフィールドの不一致により、認証されていないクライアントが初期化されていないヒープメモリを読み取ることができる可能性があります。この問題は、MongoDB Server v7.0 7.0.28未満のすべてのバージョン、MongoDB Server v8.0 8.0.17未満のバージョン、MongoDB Server v8.2 8.2.3未満のバージョン、MongoDB Server v6.0 6.0.27未満のバージョン、MongoDB Server v5.0 5.0.32未満のバージョン、MongoDB Server v4.4 4.4.30未満のバージョン、MongoDB Server v4.2 4.2.0以上のバージョン、MongoDB Server v4.0 4.0.0以上のバージョン、およびMongoDB Server v3.6 3.6.0以上のバージョンに影響します。
KEV掲載: 2025-12-29公式(NVD) →Digiever DS-2105 Pro 3.1.0.71-11デバイスは、time_tzsetup.cgiでコマンドインジェクション脆弱性を許可しています。注記:この脆弱性は、メンテナンス対象外となった製品にのみ影響します。
KEV掲載: 2025-12-22公式(NVD) →WatchGuard Fireware OSの境界外書き込み脆弱性により、認証されていないリモート攻撃者が任意のコードを実行できる可能性があります。この脆弱性は、動的ゲートウェイピアで設定された場合、IKEv2を使用するモバイルユーザーVPNとブランチオフィスVPNの両方に影響します。この脆弱性はFireware OS 11.10.2から11.12.4_Update1まで、12.0から12.11.5まで、および2025.1から2025.1.3までのバージョンに影響します。
KEV掲載: 2025-12-19公式(NVD) →ASUS Live Updateクライアントの特定バージョンが、サプライチェーン侵害を通じて導入された不正な改変を伴って配布されていました。改変されたビルドは、特定のターゲット条件を満たすデバイスに対して意図しないアクションを実行させる可能性がありました。これらの条件を満たし、侵害されたバージョンをインストールしたデバイスのみが影響を受けます。Live Updateクライアントは既に2021年10月に延長サポート終了(EOS)に達しており、現在サポートされているデバイスまたは製品はこの問題の影響を受けません。
KEV掲載: 2025-12-17公式(NVD) →Cisco Secure Email GatewayおよびCisco Secure Email and Web ManagerのCisco AsyncOSソフトウェアのスパム隔離機能における脆弱性により、認証されていないリモート攻撃者が影響を受けるデバイス上でroot権限で任意のシステムコマンドを実行できる可能性があります。 この脆弱性は、スパム隔離機能によるHTTPリクエストの検証が不十分であることが原因です。攻撃者は、影響を受けるデバイスに細工されたHTTPリクエストを送信することでこの脆弱性を悪用できます。悪用に成功した場合、攻撃者は基盤となるオペレーティングシステム上でroot権限で任意のコマンドを実行できる可能性があります。
KEV掲載: 2025-12-17公式(NVD) →SonicWall SMA1000アプライアンス管理コンソール(AMC)における不十分な認可に起因するローカル権限昇格脆弱性。
KEV掲載: 2025-12-17公式(NVD) →Fortinet FortiOS 7.6.0から7.6.3、FortiOS 7.4.0から7.4.8、FortiOS 7.2.0から7.2.11、FortiOS 7.0.0から7.0.17、FortiProxy 7.6.0から7.6.3、FortiProxy 7.4.0から7.4.10、FortiProxy 7.2.0から7.2.14、FortiProxy 7.0.0から7.0.21、FortiSwitchManager 7.2.0から7.2.6、FortiSwitchManager 7.0.0から7.0.5における暗号署名の不適切な検証の脆弱性により、認証されていない攻撃者は細工されたSAML応答メッセージを使用してFortiCloud SSOログイン認証をバイパスすることが可能になります。
KEV掲載: 2025-12-16公式(NVD) →Gladinet CentreStackおよびTriofoxのバージョン16.12.10420.56791より前のバージョンは、AES暗号化スキーム実装に対してハードコードされた値を使用していました。これにより、公開エンドポイントのセキュリティが低下し、認証なしで特別に細工されたリクエストが提供された場合、任意のローカルファイルインクルージョン脆弱性が発生する可能性があります。これは将来の悪用の扉を開き、以前の脆弱性と組み合わせて活用することで、システム全体の侵害につながる可能性があります。
KEV掲載: 2025-12-15公式(NVD) →use-after-free の問題がメモリ管理の改善により対処されました。この問題は Safari 26.2、iOS 18.7.3 および iPadOS 18.7.3、iOS 26.2 および iPadOS 26.2、macOS Tahoe 26.2、tvOS 26.2、visionOS 26.2、watchOS 26.2 で修正されています。悪意のある細工が施された Web コンテンツを処理することにより、任意のコード実行につながる可能性があります。Apple は、iOS 26 より前のバージョンの iOS において、この問題が特定の標的を絞った個人に対する極めて高度な攻撃に悪用されたと報告されていることを認識しています。CVE-2025-14174 もこの報告に対応して発行されました。
KEV掲載: 2025-12-15公式(NVD) →Sierra Wireless AirLink ES450 FW 4.9.3のupload.cgi機能に、悪用可能なリモートコード実行脆弱性が存在します。特別に細工されたHTTPリクエストにより、ファイルをアップロードでき、実行可能なコードがウェブサーバーにアップロードされ、ルーティング可能になります。攻撃者は認証済みのHTTPリクエストを送信することで、この脆弱性をトリガーできます。
KEV掲載: 2025-12-12公式(NVD) →Google ChromeのMac版143.0.7499.110より前のバージョンにおけるANGLEのアウトオブバウンズメモリアクセス脆弱性により、リモート攻撃者は細工されたHTMLページを使用してアウトオブバウンズメモリアクセスを実行できました。(Chromiumセキュリティ重要度:高)
KEV掲載: 2025-12-12公式(NVD) →GeoServerはオープンソースサーバーで、ユーザーが地理空間データを共有および編集することができます。バージョン2.26.0から2.26.2未満およびバージョン2.25.6未満の間で、XML外部エンティティ(XXE)脆弱性が特定されました。このアプリケーションは/geoserver/wms操作GetMapの特定のエンドポイントを通じてXML入力を受け入れています。しかし、この入力は十分にサニタイズされていないか制限されていないため、攻撃者がXMLリクエスト内で外部エンティティを定義することができます。この問題はGeoServer 2.25.6、GeoServer 2.26.3、およびGeoServer 2.27.0で修正されています。
KEV掲載: 2025-12-11公式(NVD) →RARLAB WinRARディレクトリトラバーサルリモートコード実行脆弱性。この脆弱性により、リモート攻撃者は影響を受けるRARLAB WinRARインストール環境で任意のコードを実行できます。この脆弱性を悪用するにはユーザーの操作が必要であり、ターゲットは悪意のあるページにアクセスするか悪意のあるファイルを開く必要があります。 特定の欠陥はアーカイブファイル内のファイルパス処理に存在します。細工されたファイルパスにより、プロセスが意図しないディレクトリへのトラバーサルが発生する可能性があります。攻撃者はこの脆弱性を悪用して、現在のユーザーのコンテキストでコードを実行できます。以前はZDI-CAN-27198でした。
KEV掲載: 2025-12-09公式(NVD) →Windows Cloud Files Mini Filter Driverのuse after freeの脆弱性により、認可された攻撃者がローカルで権限昇格を実行可能になります。
KEV掲載: 2025-12-09公式(NVD) →D-Link Go-RT-AC750 GORTAC750_revA_v101b03およびGO-RT-AC750_revB_FWv200b02は、cgibin、hnap_mainを経由したバッファオーバーフローの脆弱性が存在します。
KEV掲載: 2025-12-08公式(NVD) →Array Networks ArrayOS AG 9.4.5.9 より前のバージョンはコマンドインジェクションを許可しており、2025年8月から12月にかけて実際の攻撃で悪用されました。
KEV掲載: 2025-12-08公式(NVD) →React Server Components バージョン19.0.0、19.1.0、19.1.1、および19.2.0に、以下のパッケージを含む認証前のリモートコード実行脆弱性が存在します:react-server-dom-parcel、react-server-dom-turbopack、およびreact-server-dom-webpack。脆弱なコードは、Server Function エンドポイントへのHTTPリクエストからのペイロードを安全でない方法で逆シリアル化します。
KEV掲載: 2025-12-05公式(NVD) →OpenPLC ScadaBRのLinux版0.9.1以前およびWindows版1.12.4以前では、認証されたリモートユーザーがview_edit.shtmを通じて任意のJSPファイルをアップロードして実行できる脆弱性が存在します。
KEV掲載: 2025-12-03公式(NVD) →複数の場所において、パーミッション回避により、バックグラウンドからアクティビティを起動する可能性があります。これにより、追加の実行権限を必要とせず、ローカル権限昇格につながる可能性があります。悪用には、ユーザーの操作は不要です。
KEV掲載: 2025-12-02公式(NVD) →DevicePolicyManagerService.javaのhasAccountsOnAnyUserメソッドにおいて、コードのロジックエラーにより、プロビジョニング後にデバイスオーナーを追加される可能性がある。これにより、追加の実行権限なしでローカル権限昇格につながる可能性がある。エクスプロイトに利用者操作は不要である。
KEV掲載: 2025-12-02公式(NVD) →OpenPLC ScadaBR(Linux上 0.9.1以前、Windows上 1.12.4以前)は、system_settings.shtmを介した保存型XSS脆弱性を許可しています。
KEV掲載: 2025-11-28公式(NVD) →Oracle Fusion Middleware のIdentity Managerプロダクト(コンポーネント: REST WebServices)における脆弱性。影響を受けるサポート対象バージョンは12.2.1.4.0および14.1.2.1.0です。簡単に悪用可能な脆弱性であり、HTTPを経由したネットワークアクセスを持つ認証されていない攻撃者がIdentity Managerを侵害できます。この脆弱性への成功した攻撃により、Identity Managerの完全な乗っ取りが可能となります。CVSS 3.1基本スコア9.8(機密性、完全性、および可用性への影響)。CVSSベクトル:(CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)
KEV掲載: 2025-11-21公式(NVD) →Google Chromeの142.0.7444.175より前のV8における型混同の脆弱性により、リモート攻撃者が細工されたHTMLページを通じてヒープ破損を悪用する可能性がありました。(Chromiumのセキュリティ重大度:高)
KEV掲載: 2025-11-19公式(NVD) →Fortinet FortiWebの8.0.0~8.0.1、7.6.0~7.6.5、7.4.0~7.4.10、7.2.0~7.2.11、7.0.0~7.0.11に存在するOS コマンドインジェクション (CWE-78) 脆弱性により、認証済み攻撃者が細工されたHTTPリクエストまたはCLIコマンドを経由して、基盤となるシステム上で不正なコード実行を行うことができる可能性があります。
KEV掲載: 2025-11-18公式(NVD) →Fortinet FortiWebの8.0.0~8.0.1、7.6.0~7.6.4、7.4.0~7.4.9、7.2.0~7.2.11、7.0.0~7.0.11における相対パストラバーサル脆弱性により、攻撃者が細工されたHTTPまたはHTTPSリクエストを通じてシステム上で管理者コマンドを実行される可能性があります。
KEV掲載: 2025-11-14公式(NVD) →WatchGuard Fireware OSの境界外書き込み脆弱性により、リモートの認証されていない攻撃者が任意のコードを実行できる可能性があります。この脆弱性は、動的ゲートウェイピアで構成されたIKEv2を使用するモバイルユーザーVPNとブランチオフィスVPN の両方に影響します。本脆弱性はFireware OS 11.10.2から11.12.4_Update1まで、12.0から12.11.3まで、および2025.1に影響します。
KEV掲載: 2025-11-12公式(NVD) →Triofox 16.7.10368.56560より前のバージョンは、セットアップ完了後も初期セットアップページへのアクセスを許可する不適切なアクセス制御の脆弱性に対して脆弱です。
KEV掲載: 2025-11-12公式(NVD) →Windows カーネルの不適切な同期を伴う共有リソースの並行実行(競合状態)により、認可された攻撃者がローカルで権限昇格を実行することが可能です。
KEV掲載: 2025-11-12公式(NVD) →libimagecodec.quram.so の SMR Apr-2025 Release 1 より前のバージョンにおける境界外書き込みの脆弱性により、リモート攻撃者が任意のコードを実行される可能性があります。
KEV掲載: 2025-11-10公式(NVD) →CWP(Control Web Panel またはCentOS Web Panel とも呼ばれる)0.9.8.1205 より前のバージョンでは、filemanager changePerm リクエストの t_total パラメータのシェルメタ文字を通じて、認証されていないリモートコード実行が可能です。有効な非root ユーザー名が既知である必要があります。
KEV掲載: 2025-11-04公式(NVD) →
優先度 = KEV(実際に悪用中) + EPSS(30日内に悪用される確率) + CVSS(深刻度) の合成。防御目的のフィードで、攻撃コードやPoCは扱いません。各CVEの詳細は公式(NVD)へリンクします。