脆弱性速報
実際に悪用されている脆弱性(CISA KEV)を新着順に。各CVEに悪用確率(EPSS)と深刻度(CVSS)を添え、「今すぐ直すべきか」を防御目線で判断できるようにしたフィードです。
Google Chromium V8に型混同の脆弱性が存在します。この脆弱性により、リモート攻撃者が細工されたHTMLページを介して任意の読み取り/書き込みを実行できる可能性があります。この脆弱性は、Google Chrome、Microsoft Edge、Operaなど、Chromiumを利用する複数のウェブブラウザに影響を及ぼす可能性があります。
KEV掲載: 2025-07-02公式(NVD) →TeleMessage TM SGNLに、セキュアでないデフォルト設定を使用したリソースの初期化の脆弱性が存在します。この脆弱性は、Spring Boot Actuatorが/heapdumpURIで公開されたヒープダンプエンドポイントで構成される方法に依存しています。
KEV掲載: 2025-07-01公式(NVD) →TeleMessage TM SGNLには、権限のない制御領域へのコアダンプファイルの露出脆弱性が含まれています。この脆弱性はJSPアプリケーションに基づいており、ヒープ内容が「コアダンプ」とほぼ同等であり、以前HTTPで送信されたパスワードがこのダンプに含まれる可能性があります。
KEV掲載: 2025-07-01公式(NVD) →Citrix NetScaler ADC およびGatewayに含まれるバッファオーバーフロー脆弱性により、意図しない制御フローとサービス拒否が発生します。NetScalerはGateway(VPN仮想サーバー、ICAプロキシ、CVPN、RDPプロキシ)またはAAA仮想サーバーとして構成されている必要があります。
KEV掲載: 2025-06-30公式(NVD) →D-Link DIR-859ルーターには、HTTPPOSTリクエストハンドラーコンポーネントの/hedwig.cgiファイルにパストトラバーサル脆弱性が存在します。serviceパラメーターを../../../../htdocs/webinc/getcfg/DHCPS6.BRIDGE-1.xmlの入力で操作することにより、セッションデータの漏洩が可能になり、権限昇格および不正なデバイス制御が実現される可能性があります。この脆弱性はレガシーD-Link製品に影響します。関連するすべてのハードウェアリビジョンは製品のサポート終了(EOL)またはサービス終了(EOS)ライフサイクルに達しており、ベンダーの指示に従って廃棄および交換する必要があります。
KEV掲載: 2025-06-25公式(NVD) →Fortinet FortiOSには、ハードコードされた認証情報の使用に関する脆弱性が含まれており、攻撃者はハードコードされたキーの知識を利用して、FortiOS設定バックアップファイル内の機密データを暗号化できる可能性があります。
KEV掲載: 2025-06-25公式(NVD) →AMI MegaRAC SPxのRedfish Host Interfaceには、なりすまし(スプーフィング)による認証回避脆弱性が存在します。この脆弱性が悪用された場合、機密性、完全性、および/または可用性の喪失に至る可能性があります。
KEV掲載: 2025-06-25公式(NVD) →Linuxカーネルは不適切な所有権管理の脆弱性を含んでおり、Linux カーネルの OverlayFS サブシステムで、ユーザーが nosuid マウントから別のマウントへ機能を持つファイルをコピーする際の無許可のアクセスが発見されました。このuid マッピングバグにより、ローカルユーザーはシステム上で特権を昇格させることができます。
KEV掲載: 2025-06-17公式(NVD) →TP-Link TL-WR940N V2/V4、TL-WR841N V8/V10、およびTL-WR740N V1/V2は、コンポーネント/userRpm/WlanNetworkRpmを経由したコマンドインジェクション脆弱性を含んでいます。影響を受ける製品はサポート終了(EoL)および/またはサービス終了(EoS)である可能性があります。ユーザーは製品の使用を中止すべきです。
KEV掲載: 2025-06-16公式(NVD) →Apple iOS、iPadOS、macOS、watchOS、およびvisionOSは、iCloudリンク経由で共有された悪意のある写真またはビデオを処理する際に、未指定の脆弱性を含んでいます。
KEV掲載: 2025-06-16公式(NVD) →Wazuhは信頼されていないデータの逆シリアル化脆弱性を含んでおり、Wazuhサーバー上でリモートコード実行を許可します。
KEV掲載: 2025-06-10公式(NVD) →Microsoft Windowsに、ファイル名またはパスの外部制御の脆弱性が存在します。この脆弱性により、攻撃者はインターネットショートカットファイルのWorkingDirectory属性で指定されたリモートWebDAV場所からコードを実行できる可能性があります。
KEV掲載: 2025-06-10公式(NVD) →RoundCube Webmailに、クロスサイトスクリプティングの脆弱性が存在します。この脆弱性により、遠隔の攻撃者が、program/actions/mail/show.phpのmessage_body()関数における不十分なサニタイズの問題を悪用した細工されたメールメッセージを通じて、被害者のメールを盗聴および送信することが可能になります。
KEV掲載: 2025-06-09公式(NVD) →Erlang Erlang/OTP SSHサーバーに重要な機能の認証欠落脆弱性が存在します。この脆弱性により、攻撃者は有効な認証情報なしで任意のコマンドを実行でき、認証なしでのリモートコード実行(RCE)につながる可能性があります。SSHプロトコルメッセージの処理方法における欠陥を悪用することで、悪意のある行為者は影響を受けるシステムへの不正なアクセスを獲得できます。この脆弱性は、Erlang/OTP SSHサーバーを実装する様々な製品に影響を与える可能性があります。これには、Cisco、NetApp、SUSEを含みますが、これに限定されません。
KEV掲載: 2025-06-09公式(NVD) →Google Chromium V8に、細工されたHTMLページを介してヒープ破損を悪用する可能性のある越界読み取り・書き込み脆弱性が含まれています。この脆弱性は、Google Chrome、Microsoft Edge、Operaを含む、Chromiumを利用する複数のWebブラウザに影響を及ぼす可能性があります。
KEV掲載: 2025-06-05公式(NVD) →複数のQualcommチップセットに不正な認可の脆弱性が存在します。この脆弱性により、特定のコマンドシーケンスを実行する際にGPUマイクロノード内で不正なコマンド実行が発生し、メモリ破損につながります。
KEV掲載: 2025-06-03公式(NVD) →複数のQualcommチップセットに不適切な認可の脆弱性が存在します。この脆弱性により、特定のコマンドシーケンスを実行する際にGPUマイクロノード内での認可されていないコマンド実行に起因するメモリ破損が発生する可能性があります。
KEV掲載: 2025-06-03公式(NVD) →複数のQualcommチップセットにおいて、解放後の使用(use-after-free)の脆弱性が存在します。この脆弱性は、ChromeでAdreno GPUドライバを使用してグラフィックスをレンダリングする際にメモリ破損を引き起こす可能性があります。
KEV掲載: 2025-06-03公式(NVD) →Craft CMSにはコード注入脆弱性が含まれています。影響を受けたバージョンのユーザーは、php.iniの設定で`register_argc_argv`が有効になっている場合、リモートコード実行の脆弱性にさらされています。
KEV掲載: 2025-06-02公式(NVD) →ASUS Lyra MiniおよびASUS GT-AC2900デバイスに不適切な認証の脆弱性が存在し、攻撃者が管理インターフェースへの不正アクセスを行うことを許可します。影響を受けるプロダクトはサポート終了(EoL)および/またはサービス終了(EoS)の可能性があります。ユーザーはプロダクトの使用を中止すべきです。
KEV掲載: 2025-06-02公式(NVD) →Craft CMS に、仮に不変であると想定されるウェブパラメータの外部制御脆弱性が存在します。この脆弱性により、認証されていないクライアントが、サーバー上の既知のローカルファイル位置に PHP コードなどの任意の値を導入することが可能になる可能性があります。この脆弱性は、CVE-2025-32432 で示されている CVE-2024-58136 と組み合わせることができます。
KEV掲載: 2025-06-02公式(NVD) →ASUS RT-AX55デバイスはOSコマンドインジェクション脆弱性を含んでおり、リモートの認証済み攻撃者が任意のコマンドを実行できる可能性があります。CVE-2023-41346で表現されています。
KEV掲載: 2025-06-02公式(NVD) →ConnectWiseのScreenConnectに不正な認証脆弱性が存在します。この脆弱性により、ViewStateコードインジェクション攻撃が可能となり、マシンキーが侵害された場合、リモートコード実行につながる可能性があります。
KEV掲載: 2025-06-02公式(NVD) →Samsung MagicINFO 9 Serverには、攻撃者がシステム権限で任意のファイルを書き込むことを可能にするパストトラバーサル脆弱性が含まれています。
KEV掲載: 2025-05-22公式(NVD) →Ivanti Endpoint Manager Mobile (EPMM) の API コンポーネントに認証回避の脆弱性が存在します。この脆弱性により、攻撃者は細工された API リクエストを通じて、適切な認証情報がなくても保護されたリソースにアクセスすることができます。この脆弱性は Spring Framework オープンソースライブラリの不安全な実装に起因しています。
KEV掲載: 2025-05-19公式(NVD) →ZKTeco BioTimeのiclock APIにはパストラバーサル脆弱性が存在し、認証されていない攻撃者が細工されたペイロードを供給することで任意のファイルを読み取ることが可能です。
KEV掲載: 2025-05-19公式(NVD) →Srimax Output Messengerには、攻撃者が意図されたディレクトリの外側にある機密ファイルにアクセスすることを可能にするディレクトリトラバーサル脆弱性が含まれています。これは設定情報の漏洩または任意のファイルアクセスにつながる可能性があります。
KEV掲載: 2025-05-19公式(NVD) →Ivanti Endpoint Manager Mobile (EPMM)のAPIコンポーネントにコード注入脆弱性が存在し、認証済み攻撃者が細工されたAPIリクエストを介して任意のコードをリモートで実行することが可能です。この脆弱性は、CVE-2025-35036で表現されるHibernate Validatorオープンソースライブラリの不安全な実装に起因しています。
KEV掲載: 2025-05-19公式(NVD) →Zimbraコラボレーションは、ZimbraウェブメールのクラシックユーザーインターフェイスのCalendarInvite機能に含まれるクロスサイトスクリプティング(XSS)脆弱性を持っています。攻撃者は細工されたカレンダーヘッダーを含むメールメッセージを通じてこの脆弱性を悪用し、任意のJavaScriptコードの実行につながる可能性があります。
KEV掲載: 2025-05-19公式(NVD) →MDaemon Email Serverは、HTMLメール経由で任意のJavaScriptコードを読み込むことを可能にするクロスサイトスクリプティング(XSS)脆弱性を含んでいます。この脆弱性により、リモート攻撃者が悪意のあるコードを実行できます。
KEV掲載: 2025-05-19公式(NVD) →DrayTek Vigor2960、Vigor300B、およびVigor3900ルーターは、コンポーネントのウェブ管理インターフェース内の/cgi-bin/mainfunction.cgi/apmcfguploadファイルの未知の関数に起因するOSコマンドインジェクション脆弱性を含んでいます。
KEV掲載: 2025-05-15公式(NVD) →SAP NetWeaver Visual Composerのメタデータアップローダーに含まれる逆シリアライゼーション脆弱性により、権限を持つ攻撃者が信頼できないまたは悪意のあるコンテンツを逆シリアライゼーションすることで、ホストシステムの機密性、整合性、および可用性を侵害される可能性があります。
KEV掲載: 2025-05-15公式(NVD) →Fortinet FortiFone、FortiVoice、FortiNDR、およびFortiMailに、細工されたHTTPリクエストを通じて、リモートの認証されていない攻撃者が任意のコードまたはコマンドを実行することを可能にするスタックベースのオーバーフロー脆弱性が含まれています。
KEV掲載: 2025-05-14公式(NVD) →Microsoft Windows スクリプティング エンジンに型混同の脆弱性が存在し、特別に細工されたURLを介して、認可されていない攻撃者がネットワーク越しにコードを実行できます。
KEV掲載: 2025-05-13公式(NVD) →Microsoft Windows共通ログファイルシステム(CLFS)ドライバーに、認可された攻撃者がローカルで権限昇格を行うことを可能にするuse-after-freeの脆弱性が存在します。
KEV掲載: 2025-05-13公式(NVD) →Microsoft Windows Common Log File System (CLFS) ドライバーに含まれるヒープベースのバッファオーバーフロー脆弱性により、認可された攻撃者がローカルで権限昇格を行うことができます。
KEV掲載: 2025-05-13公式(NVD) →Microsoft Windows DWMコアライブラリに含まれるユーズアフターフリー脆弱性により、認可された攻撃者がローカルで権限昇格を行うことが可能です。
KEV掲載: 2025-05-13公式(NVD) →Microsoft Windows WinSock用補助機能ドライバに、認可された攻撃者が管理者権限に昇格することを可能にするuse-after-free脆弱性が含まれています。
KEV掲載: 2025-05-13公式(NVD) →TeleMessage TM SGNLには、アーカイブバックエンドがTM SGNLアプリケーションユーザーからのメッセージの平文コピーを保持する隠れた機能脆弱性が含まれています。
KEV掲載: 2025-05-12公式(NVD) →複数のGeoVisionデバイスに、OSコマンドインジェクションの脆弱性が存在します。この脆弱性により、認証されていないリモートの攻撃者が任意のシステムコマンドをインジェクションして実行することが可能です。影響を受ける製品はライフサイクル終了(EoL)および/またはサポート終了(EoS)である可能性があります。ユーザーは製品の使用を中止すべきです。
KEV掲載: 2025-05-07公式(NVD) →
優先度 = KEV(実際に悪用中) + EPSS(30日内に悪用される確率) + CVSS(深刻度) の合成。防御目的のフィードで、攻撃コードやPoCは扱いません。各CVEの詳細は公式(NVD)へリンクします。