【要点】 ◎CISAはRoundcubeのRCEとXSSの2脆弱性が悪用中としてKEVへ追加、更新を要請 (Security NEXT)

【要点】 ◎CISAがRoundcubeの2脆弱性悪用を警告、3週間以内の修正を指 (BleepingComputer)

【要点】 ◎CISAがDell RP4VMsとGitLabの脆弱性をKEV追加。実際の悪用確認で早急な対策を要請 (Security NEXT)

【要点】 ◎Dell RP4VMのゼロデイCVE-2026-22769が中国系UNC6201により2024年半ばから悪用。CISAはKEV登録し緊急パッチを指示 (The Hacker News)

【要点】 ◎BeyondTrustのCVSS9.9脆弱性CVE-2026-1731が実環境で悪用開始。PoC公開直後に攻撃が発生し、迅速なパッチ適用が急務となっている (The Hacker News)

【要点】 ◎CISAはSCCMのSQLインジェクション脆弱性CVE-2024-43468が攻撃で悪用中と警告。米連邦機関に3月5日までの修正を指示した (BleepingComputer)

【要点】 ◎CISAはSolarWinds WHDなど4製品の脆弱性悪用を受けKEVを更新。SCCMやNotepad++、Apple製品も対象で早急な対策を促した (Security NEXT)

【KEVリスト】 KEV公開日 CVE公開日 CVE登録日 CVE番号 NVD ベンダー CVSS v3 CWE 脆弱性 備考 2026/01/07 2009/04/03 2009/02/12 CVE-2009-0556 NVD Microsoft 9.3(NVD) CWE-94 コード・インジェクション PowerPoint 2026/01/07 2025/12/16 2025/04/16 CVE-…

【要点】 ◎CISAはCisco Unified Communications製品のゼロデイ悪用を警告し、CVE-2026-20045をKEV追加。root奪取恐れ。 (Security NEXT)

【要点】 ◎CISAは、自己ホスト型GitサービスGogsの未修正脆弱性が実環境で悪用されていると警告した。APIの不備により認証済みユーザーが任意コード実行に至る恐れがある。

vul.hatenadiary.com vul.hatenadiary.com 【KEV】 ◆KEV (2026年の記事) (まとめ) https://malware-log.hatenablog.com/entry/KEV_2026 【ニュース】■2023年◇2023年4月 ◆CISA orders agencies to patch Backup Exec bugs used by ransomware gang (BleepingC…

【要点】 ◎米CISAは、HPE OneViewとPowerPointの既知脆弱性が悪用されているとして注意喚起を行った。 (Security NEXT)

【要点】 ◎JPCERT/CCはMongoDBの深刻な脆弱性「MongoBleed」について、国内での悪用被害は未確認としつつ、今後の攻撃増加に警戒を呼びかけた。 (Security NEXT)

【要点】 ◎米CISAは、MongoDBの脆弱性CVE-2025-14847が実際に悪用されているとしてKEVに追加し、早急な対応を呼びかけた。 (Security NEXT)

【要点】 ◎米CISAはDigiEver製NVR「DS-2105 Pro」の脆弱性が実際に悪用されているとして警告した。認可不備により任意コマンド実行の恐れがある。 (Security NEXT)

【脆弱性内容】 公開日 登録日 CVE番号 NVD ベンダー CVSS v3 CWE 脆弱性 KEV 備考 2025/12/19 2025/12/15 CVE-2025-14733 NVD WatchGuard 9.8(NVD) CWE-787 境界外書き込み 2025/12/19 WatchGuard Firebox 【ニュース】■2025年◇2025年10月 ◆「WatchGuard Fi…

【要点】 ◎ASUS Live Updateに関するサプライチェーン由来の重大脆弱性が、実際に悪用されているとしてCISAのKEVに追加された。2019年攻撃の影響が今も残る可能性がある。(マイナビニュース)

【要点】 ◎中国関連APTが、シスコ製AsyncOS搭載機器のゼロデイ脆弱性CVE-2025-20393を悪用。root権限取得が可能で、CISAはKEV登録し迅速な対応を要請。(SecurityWeek)

【要点】 ◎米CISAは、CiscoやSonicWall製品のゼロデイ脆弱性が実際に悪用されているとして注意喚起した。ASUS旧ユーティリティのサプライチェーン攻撃事例も含め、早急な確認と対策を求めている。

【要点】 ◎米CISAは、Gladinet製品とApple WebKitの脆弱性が実際に悪用されているとしてKEVに追加し、早急な対策を呼びかけた。 (Security NEXT)

【要点】 ◎CISAはChromiumのANGLE脆弱性「CVE-2025-14174」と、Sierra Wireless製品の「CVE-2018-4063」をKEVに追加。いずれも悪用確認済みで、更新や利用中止など早急な対応が必要。

【要点】 ◎米CISAは、悪用が確認されたWindowsとWinRARの脆弱性2件をKEVに追加し、更新適用など早急な対策を呼びかけた。

【要点】 ◎米CISAは、ArrayOS AGのコマンドインジェクションなど2件の脆弱性を悪用確認としてKEVに追加し、早急な対策を呼びかけた。 (Security NEXT)

【訳】CISAのKEVに重大なReact2Shell脆弱性が追加、悪用が確認されたため 【要点】 ◎深刻なReact2Shell（CVE-2025-55182）がKEV入り。中国系攻撃者が公開直後から悪用し、暗号マイナーや認証情報窃取も確認。React最新版で修正済みで、影響サービスは数百万…

【要点】 ◎米CISAは、産業制御ソフトScadaBRの既知脆弱性CVE-2021-26828が実際に悪用されているとして、KEVに追加し注意を呼びかけた。

【要点】 ◎工場向けSCADAツール「ScadaBR」の XSS 脆弱性が悪用されていると米CISAが警告。CVE-2021-26829が KEV に追加され、関連ツールの利用者にも対策を求めている。 (Security NEXT)

【要点】 ◎Oracle Middlewareの脆弱性CVE-2025-61757が悪用確認され、CISAがKEVに追加し注意喚起。10月CPUで修正済みだが、行政機関に迅速な対策を要請。

【要点】 ◎CISAがXWikiとVMware Aria Operationsの脆弱性を悪用リストに追加。両製品とも悪用確認済みで早急な対策を要請。

【要点】 ◎CISAがWSUS脆弱性CVE-2025-59287の対策を更新。影響サーバ特定手順と検知観点（Base64 PS実行等）を追加し、即時適用を要請。

【要点】 ◎CISAは「DELMIA Apriso」で新たに2件の脆弱性悪用を確認。高権限アクセスとコード実行が可能で、早急な対策を要請。