脆弱性速報
実際に悪用されている脆弱性(CISA KEV)を新着順に。各CVEに悪用確率(EPSS)と深刻度(CVSS)を添え、「今すぐ直すべきか」を防御目線で判断できるようにしたフィードです。
Gladinet CentreStackおよびTrioFoxのデフォルトインストールおよび設定において、認証なしでローカルファイルインクルージョン脆弱性が存在し、システムファイルの意図しない開示を招く可能性があります。この脆弱性の実際の悪用が確認されています。 本問題はGladinet CentreStackおよびTrioFoxの16.7.10368.56560以前のすべてのバージョンに影響します。
KEV掲載: 2025-11-04公式(NVD) →XWikiプラットフォームは、その上に構築されたアプリケーションのためにランタイムサービスを提供する汎用ウィキプラットフォームです。ゲストは`SolrSearch`への要求を通じて任意のリモートコード実行を実行できます。これはXWikiインストール全体の機密性、完全性および可用性に影響を与えます。ログインせずにインスタンス上で再現するには、`<host>/xwiki/bin/get/Main/SolrSearch?media=rss&text=%7D%7D%7D%7B%7Basync%20async%3Dfalse%7D%7D%7B%7Bgroovy%7D%7Dprintln%28"Hello%20from"%20%2B%20"%20search%20text%3A"%20%2B%20%2823%20%2B%2019%29%29%7B%7B%2Fgroovy%7D%7D%7B%7B%2Fasync%7D%7D%20`にアクセスしてください。出力がある場合、RSSフィードのタイトルに`Hello from search text:42`が含まれていれば、そのインスタンスは脆弱です。この脆弱性はXWiki 15.10.11、16.4.1および16.5.0RC1でパッチが適用されています。ユーザーはアップグレードすることをお勧めします。アップグレードできないユーザーは、`SolrSearchMacros.xml`の955行目にある`Main.SolrSearchMacros`を編集して、`macros.vm#L2824`の`rawResponse`マクロと一致するように、フィードのコンテンツを単に出力する代わりに`application/xml`のコンテンツタイ
KEV掲載: 2025-10-30公式(NVD) →VMware Aria OperationsおよびVMware Toolsに、ローカル権限昇格の脆弱性が存在します。非管理者権限を持つ悪意のあるローカルユーザーが、VMware Toolsがインストールされており、SDMP有効化されたAria Operationsによって管理されているVM上で、この脆弱性を悪用して、同一VM上でroot権限に昇格させる可能性があります。
KEV掲載: 2025-10-30公式(NVD) →DELMIA Apriso(Release 2020~Release 2025)に存在する認可の欠落脆弱性により、攻撃者がアプリケーションへの特権アクセスを取得できる可能性があります。
KEV掲載: 2025-10-28公式(NVD) →DELMIA Apriso のリリース 2020 からリリース 2025 に影響する、コード生成の不適切な制御 (コードインジェクション) の脆弱性により、攻撃者は任意のコードを実行できる可能性があります。
KEV掲載: 2025-10-28公式(NVD) →Windows Server Update Serviceにおける信頼されていないデータの逆シリアル化により、権限のない攻撃者がネットワーク経由でコード実行を行うことが可能になります。
KEV掲載: 2025-10-24公式(NVD) →Adobe Commerce バージョン 2.4.9-alpha2、2.4.8-p2、2.4.7-p7、2.4.6-p12、2.4.5-p14、2.4.4-p15 および以前のバージョンは、不正なインプット検証脆弱性の影響を受けます。攻撃者がこれを悪用することで、セッションハイジャックを実現でき、機密性および整合性への影響が高くなります。この問題の悪用にはユーザーの操作は必要ありません。
KEV掲載: 2025-10-24公式(NVD) →Lanscope Endpoint Manager (オンプレミス) (クライアントプログラム(MR)および検出エージェント(DA))は、受け取ったリクエストの送信元を不適切に検証しており、特別に細工されたパケットを送信することで、任意のコード実行を可能にする脆弱性があります。
KEV掲載: 2025-10-22公式(NVD) →Kentico Xperience のステージング同期サーバーコンポーネントのパスワード処理に存在する認証回避の脆弱性により、サーバー定義の None タイプを介した認証バイパスが可能になります。この認証回避により、攻撃者は管理オブジェクトを制御できます。この問題は Xperience 13.0.178 以前に影響します。
KEV掲載: 2025-10-20公式(NVD) →Kentico Xperienceの認証バイパス脆弱性は、ダイジェスト認証におけるステージングシンクサーバーのパスワード処理で空のSHA1ユーザー名を悪用することで認証をバイパスできます。認証バイパスにより、攻撃者は管理オブジェクトを制御できます。この問題はXperience 13.0.172以前に影響します。
KEV掲載: 2025-10-20公式(NVD) →Windows SMBの不適切なアクセス制御により、認可された攻撃者がネットワーク経由で権限を昇格できます。
KEV掲載: 2025-10-20公式(NVD) →Oracle E-Business Suite の Oracle Configurator 製品(コンポーネント:Runtime UI)における脆弱性。影響を受けるサポート対象バージョンは 12.2.3~12.2.14。HTTP 経由でネットワークアクセスを有する未認証の攻撃者が Oracle Configurator を侵害可能な、容易に悪用可能な脆弱性。この脆弱性の成功した攻撃により、機密データへの無許可アクセス、または Oracle Configurator がアクセス可能な全データへの完全なアクセスが結果として生じる可能性がある。CVSS 3.1 ベーススコア 7.5(機密性への影響)。CVSS ベクトル:(CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N)。
KEV掲載: 2025-10-20公式(NVD) →この問題は、改善された境界チェックにより対処されました。この問題は、tvOS 15.6、watchOS 8.7、iOS 15.6およびiPadOS 15.6、macOS Monterey 12.5、Safari 15.6で修正されています。ウェブコンテンツの処理により、任意のコード実行が発生する可能性がありました。
KEV掲載: 2025-10-20公式(NVD) →Adobe Experience Manager バージョン 6.5.23 以前は、任意のコード実行につながる可能性がある設定不備の脆弱性の影響を受けます。攻撃者はこの脆弱性を悪用してセキュリティメカニズムをバイパスし、コードを実行することができます。この問題の悪用にはユーザーインタラクションは不要であり、スコープが変更されます。
KEV掲載: 2025-10-15公式(NVD) →SKYSEA Client View Ver.11.221.03以前は、管理コンソールプログラムとのTCP接続における認証処理の脆弱性により、リモートコード実行を許可します。
KEV掲載: 2025-10-14公式(NVD) →Windows Remote Access Connection Managerにおけるアクセス制御の不備により、認可された攻撃者がローカルで権限昇格を行うことができます。
KEV掲載: 2025-10-14公式(NVD) →Microsoftは、サポート対象のWindowsオペレーティングシステムに標準でシップされているサードパーティのAgereモデムドライバの脆弱性を認識しています。これはltmdm64.sysドライバの今後の削除に関するお知らせです。このドライバは10月の累積更新で削除されています。このドライバに依存するファックスモデムハードウェアはWindows上で動作しなくなります。Microsoftはこのハードウェアへの既存の依存関係を削除することを推奨しています。
KEV掲載: 2025-10-14公式(NVD) →IGEL OS 11より前のバージョンにおいて、igel-flash-driverモジュールが暗号化署名を不適切に検証するため、Secure Bootを回避することが可能です。最終的に、検証されていないSquashFSイメージから細工されたルートファイルシステムをマウントできます。
KEV掲載: 2025-10-14公式(NVD) →Grafanaはモニタリングとオブザーバビリティのためのオープンソースプラットフォームです。Grafanaバージョン8.0.0-beta1から8.3.0(パッチ適用版を除く)はディレクトリトラバーサル脆弱性の影響を受けており、ローカルファイルへのアクセスが可能になります。脆弱な URL パスは `<grafana_host_url>/public/plugins//` です。ここで、<plugin_id> はインストールされているプラグインのプラグイン ID です。Grafana Cloud は今までのところ脆弱性の影響を受けていません。ユーザーはパッチ適用版8.0.7、8.1.8、8.2.7、または8.3.1にアップグレードすることが推奨されます。GitHub セキュリティアドバイザリには、脆弱な URL パス、緩和方法、および開示タイムラインに関する詳細情報が含まれています。
KEV掲載: 2025-10-09公式(NVD) →Zimbra Collaboration (ZCS) 9.0、10.0、10.1に発見された問題。Classic Web Clientにおいて、ICSファイル内のHTMLコンテンツの不十分なサニタイゼーションに起因する保存型クロスサイトスクリプティング(XSS)脆弱性が存在します。ユーザーが悪意あるICSエントリを含むメールメッセージを表示する際、<details>タグ内のontoggleイベント経由で埋め込まれたJavaScriptが実行されます。これにより攻撃者は被害者のセッション内で任意のJavaScriptを実行でき、メールフィルターを設定して攻撃者の制御するアドレスへメッセージをリダイレクトさせるなどの不正な動作につながる可能性があります。その結果、攻撃者はメールリダイレクトおよびデータ流出を含む被害者のアカウントに対する不正な動作を実行できます。
KEV掲載: 2025-10-07公式(NVD) →Oracle E-Business Suite の Oracle Concurrent Processing 製品(コンポーネント:BI Publisher Integration)における脆弱性。影響を受けるサポート対象バージョンは 12.2.3~12.2.14。HTTP 経由のネットワークアクセスを持つ認証されていない攻撃者により容易に悪用可能な脆弱性で、Oracle Concurrent Processing を侵害される可能性があります。この脆弱性の成功した攻撃により、Oracle Concurrent Processing の完全な乗っ取りがもたらされる可能性があります。CVSS 3.1 ベーススコア 9.8(機密性、完全性、可用性への影響あり)。CVSS ベクトル:(CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)
KEV掲載: 2025-10-06公式(NVD) →Mozilla Firefox 3.5.x から 3.5.14、3.6.x から 3.6.11、Thunderbird 3.1.6 前、3.0.x 前 3.0.10、SeaMonkey 2.x 前 2.0.10 では、JavaScript が有効な場合、nsCSSFrameConstructor::ContentAppended、appendChild メソッド、不正なインデックス追跡、および複数フレームの生成に関連するベクトルを通じて、リモート攻撃者が任意のコードを実行できます。これはメモリ破損をトリガーし、2010 年 10 月に Belmoo マルウェアによってワイルドで悪用されました。
KEV掲載: 2025-10-06公式(NVD) →Microsoft Windows XP SP2およびSP3、Windows Server 2003 SP2、Windows Vista SP2、Windows Server 2008 SP2、R2およびR2 SP1、Windows 7 GoldおよびSP1のカーネルモードドライバであるwin32k.sys内のTrueTypeフォント解析エンジンの未指定の脆弱性により、リモート攻撃者は、Wordドキュメントまたはウェブページ内の細工されたフォントデータを介して任意のコードを実行することが可能です。この脆弱性は2011年11月にDuquによって野生で悪用され、「TrueTypeフォント解析脆弱性」として知られています。
KEV掲載: 2025-10-06公式(NVD) →Microsoft Windows XP SP2および SP3、Windows Server 2003 SP2、Windows Vista SP2、Windows Server 2008 SP2およびR2 SP1、Windows 7 SP1、Windows 8、Windows 8.1、Windows Server 2012 GoldおよびR2、ならびにWindows RT GoldおよびWindows 8.1に搭載されているicardie.dllのInformationCardSigninHelper ClsassのActiveXコントロールの脆弱性により、Internet Explorerを通じてアクセスされた細工されたWebページに対して、リモートの攻撃者が任意のコードの実行またはサービス拒否(バッファオーバーフロー)を引き起こすことが可能です。2013年11月に実際の攻撃での悪用が報告されています。この脆弱性は「InformationCardSigninHelper Vulnerability」として知られています。
KEV掲載: 2025-10-06公式(NVD) →Microsoft Internet Explorer 6、7、8におけるUse-after-free脆弱性により、リモート攻�ウィンドウのクリップ属性に関するCascading Style Sheets(CSS)トークンシーケンスに関連するベクトルを通じて、リモート攻撃者が任意のコードを実行できます。これは「無効なフラグ参照」問題または「初期化されていないメモリ破損脆弱性」としても知られており、2010年11月に野生で悪用されました。
KEV掲載: 2025-10-06公式(NVD) →Linux v2.6.19-rc1以降に影響するnet/netfilter/x_tables.cのヒープ領域外書き込みの脆弱性が発見されました。この脆弱性により、攻撃者はユーザー名前空間を通じてヒープメモリ破損による特権昇格またはDoS(サービス拒否)を引き起こすことが可能です。
KEV掲載: 2025-10-06公式(NVD) →Windowsコモンログファイルシステムドライバ特権昇格の脆弱性
KEV掲載: 2025-10-06公式(NVD) →Jenkins バージョン 2.56 以前および 2.46.1 LTS 以前は、認証なしのリモートコード実行に対して脆弱です。認証されていないリモートコード実行の脆弱性により、攻撃者は シリアライズされた Java `SignedObject` オブジェクトを Jenkins CLI に送信でき、新しい `ObjectInputStream` を使用してデシリアライズされることで、既存のブラックリストベースの保護メカニズムをバイパスできます。この問題を修正するため、`SignedObject` をブラックリストに追加しています。また、Jenkins 2.54 の新しい HTTP CLI プロトコルを LTS 2.46.2 にバックポートし、remoting ベース(Java シリアライゼーション)CLI プロトコルを非推奨化して、デフォルトで無効にしています。
KEV掲載: 2025-10-02公式(NVD) →GNU Bash 4.3以前のbash43-026では、環境変数の値に含まれる関数定義を適切に解析していません。これにより、リモート攻�ーヤーが細工された環境を通じて任意のコマンドを実行できます。この脆弱性は、OpenSSHのsshd内のForceCommand機能、Apache HTTPサーバーのmod_cgiおよびmod_cgidモジュール、特定されていないDHCPクライアントによって実行されるスクリプト、および特権境界を越えた環境設定がBash実行と関連する他の状況に影響します。注:この脆弱性は、CVE-2014-6271、CVE-2014-7169、およびCVE-2014-6277の不完全な修正に起因するものです。
KEV掲載: 2025-10-02公式(NVD) →Juniper ScreenOS 6.2.0r15~6.2.0r18、6.3.0r12(6.3.0r12b前)、6.3.0r13(6.3.0r13b前)、6.3.0r14(6.3.0r14b前)、6.3.0r15(6.3.0r15b前)、6.3.0r16(6.3.0r16b前)、6.3.0r17(6.3.0r17b前)、6.3.0r18(6.3.0r18b前)、6.3.0r19(6.3.0r19b前)、および6.3.0r20(6.3.0r21前)において、SSH またはTELNETセッション中に未指定のパスワードを入力することにより、リモート攻撃者が管理者アクセスを取得することが可能である脆弱性が存在する。
KEV掲載: 2025-10-02公式(NVD) →Meteobridge のウェブインターフェースは、CGI シェルスクリプトおよび C で記述されたウェブアプリケーションを通じて、Meteobridge 管理者が気象ステーション データの収集を管理し、Meteobridge システムを管理することを可能にしています。 このウェブインターフェースは、コマンドインジェクションに対して脆弱なエンドポイントを公開しています。 認証されていないリモート攻撃者は、影響を受けるデバイス上で昇格された権限(root)で任意のコマンド実行を獲得できます。
KEV掲載: 2025-10-02公式(NVD) →libimagecodec.quram.soの境界外書き込みの脆弱性(SMR Sep-2025 Release 1より前のバージョン)により、リモート攻撃者が任意のコードを実行することを可能にします。
KEV掲載: 2025-10-02公式(NVD) →Adminerはシングルなphpファイルのオープンソースデータベース管理ツールです。バージョン4.0.0以上4.7.9未満のAdminerにはサーバーサイドリクエストフォージェリの脆弱性が存在します。すべてのドライバをバンドルしているAdminerのバージョン(例:adminer.php)のユーザーが影響を受けます。この問題はバージョン4.7.9で修正されました。
KEV掲載: 2025-09-29公式(NVD) →Fortraの GoAnywhere MFTのLicense Servletにおけるデシリアライゼーション脆弱性により、正当に偽造されたライセンス応答署名を持つ攻撃者は、任意の攻撃者制御オブジェクトをデシリアライズでき、コマンドインジェクションにつながる可能性があります。
KEV掲載: 2025-09-29公式(NVD) →Sudo 1.9.17p1より前のバージョンでは、--chrootオプション使用時にユーザー制御可能なディレクトリから/etc/nsswitch.confが読み込まれるため、ローカルユーザーがroot権限を取得できます。
KEV掲載: 2025-09-29公式(NVD) →Cisco IOS SoftwareおよびCisco IOS XE Softwareの簡易ネットワーク管理プロトコル(SNMP)サブシステムの脆弱性により、以下が可能になる可能性があります。 Cisco IOS SoftwareまたはCisco IOS XE Softwareを実行している影響を受けるデバイスに対して、認証された低権限のリモート攻撃者がサービス拒否(DoS)状態を引き起こす可能性があります。DoSを引き起こすには、攻撃者はSNMPv2c以前のリードオンリーコミュニティストリング、または有効なSNMPv3ユーザー認証情報を持つ必要があります。Cisco IOS XE Softwareを実行している影響を受けるデバイスに対して、認証された高権限のリモート攻撃者がrootユーザーとしてコードを実行する可能性があります。rootユーザーとしてコードを実行するには、攻撃者はSNMPv1またはv2cのリードオンリーコミュニティストリング、または有効なSNMPv3ユーザー認証情報と、影響を受けるデバイスの管理者またはprivilege 15認証情報を持つ必要があります。攻撃者は、IPv4またはIPv6ネットワークを介して、影響を受けるデバイスに細工されたSNMPパケットを送信することで、この脆弱性を悪用する可能性があります。 この脆弱性は、影響を受けるソフトウェアのSNMPサブシステムにおけるスタックオーバーフロー状態が原因です。悪用に成功した場合
KEV掲載: 2025-09-29公式(NVD) →Libraesva ESG 4.5~5.5.x(5.5.7未満)では、圧縮されたメール添付ファイルを経由したコマンドインジェクションが可能です。ESG 5.0については5.0.31で修正がリリースされています。ESG 5.1については5.1.20で修正がリリースされています。ESG 5.2については5.2.31で修正がリリースされています。ESG 5.4については5.4.8で修正がリリースされています。ESG 5.5については5.5.7で修正がリリースされています。
KEV掲載: 2025-09-29公式(NVD) →更新:2025年11月5日、Ciscoは、CVE-2025-20333およびCVE-2025-20362の影響を受けるCisco Secure ASA SoftwareまたはCisco Secure FTD Softwareを実行しているデバイスに対する新しい攻撃バリアントを認識しました。この攻撃により、パッチが適用されていないデバイスが予期せず再起動し、サービス拒否(DoS)状態が発生する可能性があります。Ciscoは、このアドバイザリの「固定ソフトウェア」[「#fs」]セクションに記載されている固定ソフトウェアリリースにアップグレードすることを、すべてのお客様に強く推奨しています。 Cisco Secure Firewall Adaptive Security Appliance(ASA)SoftwareおよびCisco Secure Firewall Threat Defense(FTD)Softwareのレスト型アクセスVPN関連の制限されたURLエンドポイントに対し、認証なしでアクセスすることができる脆弱性が、VPNウェブサーバーに存在します。本来、認証なしではアクセスできないはずのエンドポイントに、認証されていないリモート攻撃者がアクセスできる可能性があります。 この脆弱性は、HTTP(S)リクエストのユーザー入力の検証不十分が原因で発生しています。攻撃者は、細工されたHTTPリクエストをターゲットデバイス上のウェブサーバーに送信することで、この脆弱性を悪用する可能性があります。攻撃が成功した場合、攻撃者は認証なしで制限されたURLにアクセスすることができる
KEV掲載: 2025-09-25公式(NVD) →Cisco Secure Firewall Adaptive Security Appliance (ASA) SoftwareおよびCisco Secure Firewall Threat Defense (FTD) Softwareに存在するVPN Webサーバーの脆弱性により、認証済みのリモート攻撃者が影響を受けるデバイス上で任意のコードを実行できる可能性があります。 この脆弱性は、HTTP(S)リクエストのユーザー入力の不正な検証に由来します。有効なVPNユーザー認証情報を持つ攻撃者は、影響を受けるデバイスに細工されたHTTPリクエストを送信することにより、この脆弱性を悪用できます。悪用に成功した場合、攻撃者はroot権限で任意のコードを実行でき、影響を受けるデバイスの完全な侵害につながる可能性があります。
KEV掲載: 2025-09-25公式(NVD) →Google ChromeのV8における型混同により、バージョン140.0.7339.185より前のGoogle Chromeでは、細工されたHTMLページを介してヒープ破損を悪用する可能性がある脆弱性が存在していました。(Chromiumセキュリティ重大度:高)
KEV掲載: 2025-09-23公式(NVD) →
優先度 = KEV(実際に悪用中) + EPSS(30日内に悪用される確率) + CVSS(深刻度) の合成。防御目的のフィードで、攻撃コードやPoCは扱いません。各CVEの詳細は公式(NVD)へリンクします。