CISA、深刻な脆弱性に対する警告を発令

米サイバーセキュリティ・インフラセキュリティ庁（CISA）は2026年1月23日、積極的に悪用が確認されている4つのセキュリティ脆弱性を「既知の悪用された脆弱性（KEV）カタログ」に追加しました。これは、サイバー脅威からネットワークを保護するため、政府機関および関連組織に対し迅速な対応を促すものです。

新たに追加された主要な脆弱性

CISAのKEVカタログに追加された脆弱性は以下の通りです。

• CVE-2025-68645（CVSSスコア: 8.8）: Synacor Zimbra Collaboration Suite (ZCS)におけるPHPリモートファイルインクルージョン脆弱性。認証なしで任意のファイルをWebRootディレクトリからインクルードされる可能性があります。2025年11月にバージョン10.1.13で修正されました。CrowdSecによると、この脆弱性は2026年1月14日から悪用が進行していると報告されています。
• CVE-2025-34026（CVSSスコア: 9.2）: Versa Concerto SD-WANオーケストレーションプラットフォームにおける認証バイパス脆弱性。攻撃者が管理エンドポイントにアクセスできる可能性があります。2025年4月にバージョン12.2.1 GAで修正されました。
• CVE-2025-31125（CVSSスコア: 5.3）: Vite Vitejsにおける不適切なアクセス制御脆弱性。?inline&importまたは?raw?importを利用して、任意のファイルの内容がブラウザに返される可能性があります。2025年3月にバージョン6.2.4、6.1.3、6.0.13、5.4.16、4.5.11で修正されました。
• CVE-2025-54313（CVSSスコア: 7.5）: eslint-config-prettierにおける悪意のあるコード埋め込み脆弱性。情報窃取を目的とした悪意のあるDLL「Scavenger Loader」の実行を許容する可能性があります。

eslint-config-prettierを狙ったサプライチェーン攻撃の詳細

特に注目すべきは、CVE-2025-54313がnpmパッケージ「eslint-config-prettier」および他の6つのパッケージ（eslint-plugin-prettier、synckit、@pkgr/core、napi-postinstall、got-fetch、is）を標的としたサプライチェーン攻撃に関連している点です。この攻撃は2025年7月に発覚しました。

フィッシングキャンペーンでは、パッケージメンテナーが正規のメールアドレス確認を装った偽のリンクを通じて資格情報を窃取され、その結果、攻撃者によってトロイの木馬化されたバージョンが公開される事態となりました。

連邦政府機関への対応指示

Binding Operational Directive (BOD) 22-01に基づき、連邦政府行政機関（FCEB）は、これらの脆弱性からネットワークを保護するため、2026年2月12日までに必要な修正を適用することが義務付けられています。

セキュリティ対策の重要性

今回のCISAによる警告は、ソフトウェアサプライチェーンにおけるセキュリティの脅威が継続的に進化していることを示しています。企業や開発者は、使用しているすべてのソフトウェアコンポーネントの脆弱性情報を常に把握し、迅速なパッチ適用とセキュリティ対策の強化が不可欠です。特に、オープンソースライブラリや開発ツールにおけるサプライチェーン攻撃に対する警戒を怠らないことが求められます。

元記事: https://thehackernews.com/2026/01/cisa-updates-kev-catalog-with-four.html