「React Native CLI」や「SmarterMail」の脆弱性悪用に警戒を - ランサムでも

米当局は、「SmarterMail」や「React Native CLI」の既知脆弱性が悪用されているとして注意喚起を行った。

米サイバーセキュリティインフラストラクチャセキュリティ庁（CISA）は現地時間2026年2月5日、「悪用が確認された脆弱性カタログ（KEV）」へ2件の脆弱性をあらたに登録し、脆弱性に対する攻撃へ注意するよう呼びかけた。

具体的には、SmarterToolsが提供するメールサーバソフトウェア「SmarterMail」における脆弱性「CVE-2026-24423」を追加。API機能における認証の欠如に起因する脆弱性で、コマンドが実行されるおそれがある。ランサムウェアを用いた攻撃キャンペーンでの悪用も確認されている。

またオープンソースの開発支援ツール「React Native CLI」におけるOSコマンドインジェクションの脆弱性「CVE-2025-11953」を追加した。2025年11月に明らかとなった脆弱性で、開発サーバ「Metro Development Server」を起動している環境において、リモートよりコマンドの実行が可能となる。

同リストへ登録された脆弱性に対し、米行政機関では指定された期間内に対策を講じる義務が生じる。また脆弱性そのものは広く悪用されるおそれがあり、各製品の利用者も警戒が必要となる。

（Security NEXT - 2026/02/06 ）ツイート