悪用が確認された脆弱性カタログ(KEV)
malware-log.hatenablog.com 【脆弱性内容】 公開日 登録日 CVE番号 NVD ベンダー CVSS v4 CVSS v3 CWE 脆弱性 KEV 備考 2025/10/20 2025/10/06 CVE-2025-61932 NVD MOTEX - 9.8(JPCERT/CC) CWE-940 通信チャネルの送信元の不適切な検証 2025/10/22 Lanscope…
【要点】 ◎Cisco SD-WANのゼロデイ悪用を受け、米CISAが緊急指令を発令し即時更新を要求 (Security NEXT)
【KEVリスト】 ★: 本ブログ内リンク ★ KEV公開日 CVE公開日 CVE登録日 CVE番号 NVD ベンダー CVSS v4 CVSS v3 CWE 脆弱性 備考 2026/01/07 2009/04/03 2009/02/12 CVE-2009-0556 NVD Microsoft - 9.3(NVD) CWE-94 コード・インジェクション PowerPoint 2026/…
【要点】 ◎CISAはRoundcubeのRCEとXSSの2脆弱性が悪用中としてKEVへ追加、更新を要請 (Security NEXT)
【要点】 ◎CISAがRoundcubeの2脆弱性悪用を警告、3週間以内の修正を指 (BleepingComputer)
【ニュース】■2026年◇2026年2月 ◆ブラウザ「Chrome」にゼロデイ脆弱性 - 悪用を確認 (Security NEXT, 2026/02/15) https://www.security-next.com/181027 ⇒ https://vul.hatenadiary.com/entry/2026/02/15/000000 ◆New Chrome Zero-Day (CVE-2026-2441) Unde…
【要点】 ◎CISAがKEVに4件追加。ChromiumやThreatSonar、Zimbra、旧Windows脆弱性の悪用を警告 (Security NEXT)
【脆弱性内容】 公開日 登録日 CVE番号 NVD ベンダー CVSS v4 CVSS v3 CWE 脆弱性 KEV 備考 2026/02/06 2026/01/31 CVE-2026-1731 NVD BeyondTrust 9.9(BeyondTrust) - CWE-78 OSコマンドインジェクション 2026/02/13 BeyondTrust Remote Support (RS) and P…
【要点】 ◎CISAはSCCMのSQLインジェクション脆弱性CVE-2024-43468が攻撃で悪用中と警告。米連邦機関に3月5日までの修正を指示した (BleepingComputer)
【要点】 ◎CISAはSolarWinds WHDなど4製品の脆弱性悪用を受けKEVを更新。SCCMやNotepad++、Apple製品も対象で早急な対策を促した (Security NEXT)
【脆弱性内容】 公開日 登録日 CVE番号 NVD ベンダー CVSS v4 CVSS v3 CWE 脆弱性 KEV 備考 2021/12/13 2021/08/23 CVE-2021-39935 NVD GitLab - 7.5(NVD)6.8(GitLab) CWE-918 サーバサイドのリクエストフォージェリ 2026/02/03 GitLab Community and Enterp…
【要点】 ◎GitLabのSSRF脆弱性CVE-2021-39935が再悪用されCISAがKEV登録。未パッチかつ外部露出環境の早急な対策が求められる (Criminal IP)
【要点】 ◎CISAがMS関連ゼロデイ6件をKEV追加、既に悪用確認 (Security NEXT)
【要点】 ◎CISAがSmarterMailとReact Native CLIの悪用脆弱性に警戒を呼びかけ (Security NEXT)
【脆弱性内容】 公開日 登録日 CVE番号 NVD ベンダー CVSS v3 CWE 脆弱性 KEV 備考 2026/01/26 2025/12/30 CVE-2026-21509 NVD Microsoft 7.8(Microsoft) CWE-807 セキュリティ決定の信頼できない入力への依存 2026/01/26 MS Office 【ニュース】■2026年◇202…
【要点】 ◎FortiCloud SSO有効環境で認証回避CVE-2026-24858(CVSS9.8)が悪用確認。Fortinetは更新と設定確認、管理者追加など侵害痕跡の点検を要請 (Security NEXT)
【要点】 ◎Fortinetは実環境で悪用されたFortiCloud SSO認証バイパスCVE-2026-24858(CVSS9.4)を修正。FortiOS 7.4.11等へ更新を促す (SecurityWeek)
【要点】 ◎MS OfficeのゼロデイCVE-2026-21509 が悪用中。細工OfficeでOLE緩和策を回避する恐れがあり、Office 2016/2019向け更新も提供 (Security NEXT)
【要点】 ◎米CISAは、Broadcom VMware vCenter Serverの重大脆弱性CVE-2024-37079を実際に悪用確認としてKEVに追加した
【要点】 ◎CISAはCisco Unified Communications製品のゼロデイ悪用を警告し、CVE-2026-20045をKEV追加。root奪取恐れ。 (Security NEXT)
malware-log.hatenablog.com 【脆弱性内容】 公開日 登録日 CVE番号 NVD ベンダー CVSS v3 CWE 脆弱性 KEV 備考 2025/09/03 2025/07/08 CVE-2025-53690 NVD Sitecore 9.0(Wiz) CWE-502 信頼できないデータのデシリアライゼーション 2025/09/04 Sitecore Expe…
【脆弱性内容】 公開日 登録日 CVE番号 NVD ベンダー CVSS v3 CWE 脆弱性 KEV 備考 2025/12/10 2025/07/24 CVE-2025-8110 NVD Gogs 8.7(Wiz) CWE-22 パス・トラバーサル 2026/01/12 Gogs 【ニュース】■2025年◇2025年12月 ◆Gitサーバ「Gogs」にゼロデイ脆弱性…
【脆弱性内容】 公開日 登録日 CVE番号 NVD ベンダー CVSS v3 CWE 脆弱性 KEV 備考 2025/12/10 2025/07/24 CVE-2025-8110 NVD Gogs 8.7(Wiz) CWE-22 パス・トラバーサル 2026/01/12 Gogs 【ニュース】■2025年◇2025年12月 ◆Gitサーバ「Gogs」にゼロデイ脆弱性…
【要点】 ◎CISAは、自己ホスト型GitサービスGogsの未修正脆弱性が実環境で悪用されていると警告した。APIの不備により認証済みユーザーが任意コード実行に至る恐れがある。
【要点】 ◎米CISAは、HPE OneViewとPowerPointの既知脆弱性が悪用されているとして注意喚起を行った。 (Security NEXT)
【要点】 ◎JPCERT/CCはMongoDBの深刻な脆弱性「MongoBleed」について、国内での悪用被害は未確認としつつ、今後の攻撃増加に警戒を呼びかけた。 (Security NEXT)
【要点】 ◎米CISAは、MongoDBの脆弱性CVE-2025-14847が実際に悪用されているとしてKEVに追加し、早急な対応を呼びかけた。
【要点】 ◎米CISAはDigiEver製NVR「DS-2105 Pro」の脆弱性が実際に悪用されているとして警告した。認可不備により任意コマンド実行の恐れがある。 (Security NEXT)
【要点】 ◎ASUS Live Updateに関するサプライチェーン由来の重大脆弱性が、実際に悪用されているとしてCISAのKEVに追加された。2019年攻撃の影響が今も残る可能性がある。(マイナビニュース)
【脆弱性内容】 公開日 登録日 CVE番号 NVD ベンダー CVSS v3 CWE 脆弱性 KEV 備考 2025/12/19 2025/12/15 CVE-2025-14733 NVD WatchGuard 9.8(NVD) CWE-787 境界外書き込み 2025/12/19 WatchGuard Firebox 【ニュース】■2025年◇2025年12月 ◆「WatchGuard Fi…
