米当局、脆弱性6件を悪用カタログに追加
米サイバーセキュリティインフラストラクチャセキュリティ庁(CISA)は、実際に悪用が確認された6件の脆弱性を「悪用が確認された脆弱性カタログ(KEV)」へ追加した。
現地時間2026年4月22日から24日にかけて追加登録したもの。米行政機関では、指定期限内に対応する必要がある。また脆弱性そのものは広く悪用されるおそれがあり、ユーザーは注意を払う必要がある。
同月22日には、マイクロソフトが4月の月例セキュリティ更新で修正した「Microsoft Defender」における権限昇格の脆弱性「CVE-2026-33825」を追加した。パッチリリース当時、悪用は確認されていなかったが、情報は公開済みで悪用される可能性が高いとされていた。
翌23日にはノートブック環境「Marimo」において認証を必要とすることなくリモートからコードを実行できる脆弱性「CVE-2026-39987」を登録。さらに24日には、4件が追加された。
具体的には、遠隔サポートや端末管理に用いられるリモート支援ソフト「SimpleHelp」において2025年1月に判明した権限管理不備の脆弱性「CVE-2024-57726」、パストラバーサルの脆弱性「CVE-2024-57728」を追加。
Samsungのデジタルサイネージ管理基盤「MagicINFO 9 Server」に関する「CVE-2024-7399」を追加。D-Link製ルータ「DIR-823X」におけるコマンドインジェクションの脆弱性「CVE-2025-29635」なども登録されている。
(Security NEXT - 2026/04/27 )
ツイート
PR
関連記事
脆弱性「Dirty Frag」が製品に与える影響を調査 - Fortinet
「Cisco Catalyst SD-WAN Manager」にゼロデイ脆弱性 - 悪用も確認
「Progress Kemp LoadMaster」にRCE脆弱性 - WAF回避のおそれも
「MOVEit WAF」に検知回避の深刻な脆弱性 - 早急な対策を
「Chrome」最新版で脆弱性429件を修正 - クリティカルは22件
「OpenStack Mistral」に脆弱性 - API認証ユーザーがコード実行可能
「Chrome 149」がリリース - セキュリティ情報は近日公開
「MLflow」にアクセスキーなど機密情報が流出する深刻な脆弱性
米当局、脆弱性3件を悪用カタログに追加 - 早期対応求める
「Cisco Unified CM」にクリティカル脆弱性 - 実証コードが公開済み
