概要
米国のサイバーセキュリティ・インフラセキュリティ庁(CISA)は、企業向けソフトウェアにおける4つの脆弱性が積極的に悪用されていると警告しました。これらの脆弱性は、Versa、Zimbra、Viteフロントエンドツールフレームワーク、およびPrettierコードフォーマッターに影響を与えます。
これらのセキュリティ問題は、CISAのKEV(Known Exploited Vulnerabilities)カタログに追加されており、攻撃者が実際に悪用している証拠があることを示しています。
Viteフレームワークの脆弱性 (CVE-2025-31125)
Viteフレームワークでは、CVE-2025-31125として識別される高 severity の不適切なアクセス制御の脆弱性が確認されました。サーバーが明示的にネットワークに公開されている場合、非許可ファイルが露呈する可能性があります。この問題は、公開された開発インスタンスのみに影響し、以下のバージョンでパッチが適用されています。
- バージョン 6.2.4
- バージョン 6.1.3
- バージョン 6.0.13
- バージョン 5.4.16
- バージョン 4.5.11
Versa Concertoの認証バイパス (CVE-2025-34026)
Versa Concerto SD-WANオーケストレーションプラットフォームには、CVE-2025-34026として追跡されるcritical severity の認証バイパスの脆弱性があります。これは、Traefikリバースプロキシの誤設定によって、内部のActuatorエンドポイントを含む管理エンドポイントへのアクセスが許可され、ヒープダンプやトレースログが露呈してしまうために発生します。
影響を受ける製品は、Concerto 12.1.2から12.2.0ですが、これ以外のバージョンも影響を受ける可能性があります。この問題は、サイバーセキュリティ企業ProjectDiscoveryの研究者によって2025年2月13日にベンダーに報告され、Versa Concertoは2025年3月7日に修正を完了したことをBleepingComputerに確認しました。
eslint-config-prettierのサプライチェーン攻撃 (CVE-2025-54313)
eslint-config-prettierパッケージに影響を及ぼすCVE-2025-54313は、高 severity のサプライチェーン侵害による脆弱性です。このパッケージは、コードリンターESLintとPrettierコードフォーマッター間の競合を解決するために使用されます。
昨年7月、攻撃者は「eslint-config-prettier」を含む複数の人気のあるJavaScriptライブラリを乗っ取り、悪意のあるコードが埋め込まれたバージョンをnpmに公開しました。影響を受けたパッケージ(バージョン 8.10.1、9.1.1、10.1.6、10.1.7)をインストールすると、悪意のある`install.js`スクリプトが実行され、Windows上で`node-gyp.dll`ペイロードが起動されてnpm認証トークンが盗まれる可能性がありました。
Zimbra Collaboration Suiteのローカルファイルインクルージョン (CVE-2025-68645)
Zimbra Collaboration Suite 10.0および10.1のWebmail Classic UIでは、CVE-2025-68645として開示されたローカルファイルインクルージョンの脆弱性が悪用されています。このバグは、RestFilterサーブレットにおけるユーザー提供パラメーターの不適切な処理によって引き起こされます。
認証されていない攻撃者は、`/h/rest`エンドポイントを悪用して、WebRootディレクトリから任意のファイルをインクルードすることが可能です。
CISAの指示
CISAは、BOD 22-01指令の対象となるすべての連邦機関に対し、2026年2月12日までに利用可能なセキュリティアップデートまたはベンダーが推奨する緩和策を適用するか、対象製品の使用を中止するよう求めています。
CISAは、悪用活動に関する詳細を共有しておらず、ランサムウェア攻撃におけるこれらの脆弱性の使用状況は「不明」とされています。