「React Native CLI」や「SmarterMail」の脆弱性悪用に警戒を - ランサムでも
米当局は、「SmarterMail」や「React Native CLI」の既知脆弱性が悪用されているとして注意喚起を行った。
米サイバーセキュリティインフラストラクチャセキュリティ庁(CISA)は現地時間2026年2月5日、「悪用が確認された脆弱性カタログ(KEV)」へ2件の脆弱性をあらたに登録し、脆弱性に対する攻撃へ注意するよう呼びかけた。
具体的には、SmarterToolsが提供するメールサーバソフトウェア「SmarterMail」における脆弱性「CVE-2026-24423」を追加。API機能における認証の欠如に起因する脆弱性で、コマンドが実行されるおそれがある。ランサムウェアを用いた攻撃キャンペーンでの悪用も確認されている。
またオープンソースの開発支援ツール「React Native CLI」におけるOSコマンドインジェクションの脆弱性「CVE-2025-11953」を追加した。2025年11月に明らかとなった脆弱性で、開発サーバ「Metro Development Server」を起動している環境において、リモートよりコマンドの実行が可能となる。
同リストへ登録された脆弱性に対し、米行政機関では指定された期間内に対策を講じる義務が生じる。また脆弱性そのものは広く悪用されるおそれがあり、各製品の利用者も警戒が必要となる。
(Security NEXT - 2026/02/06 )
ツイート
PR
関連記事
悪用リストに脆弱性4件登録 - サポートツールやPBXなど3製品
Synology製NASに脆弱性 - 3rdパーティ製ツールに起因、KEV登録済み
APIクライアント生成ツール「Orval」にRCE脆弱性 - 再発で2度の修正
ウェブサーバ「NGINX」のTLSプロキシ利用時に応答改ざんのおそれ
「Movable Type」にXSSや数式インジェクションなど複数の脆弱性
Kubernetes向け「Rancher Local Path Provisioner」に深刻な脆弱性
IBMの暗号基盤「CCA」に脆弱性 - 任意コマンド実行のおそれ
「ServiceNow」に深刻な脆弱性 - 2025年10月更新で修正済み
脆弱性管理ツール「Rapid7 InsightVM」に脆弱性 - 認証回避のおそれ
「Chrome」に重要度「高」脆弱性が2件 - アップデートを公開
