【要点】
◎CISAは悪用確認済み脆弱性7件をKEVに追加し、FortiClient EMSやAdobe Acrobat Reader、Windows関連などへの早急な対策を行政機関と利用者に求めた (Security NEXT)
【脆弱性内容】 (★: 本ブログ内の詳細記事リンク)
| ★ |
公開日 |
登録日 |
CVE番号 |
NVD |
ベンダー |
CVSS v4 |
CVSS v3 |
CWE |
脆弱性 |
KEV |
備考 |
|---|---|---|---|---|---|---|---|---|---|---|---|
| ★ | 2026/02/06 | 2026/01/02 | CVE-2026-21643 | NVD | Fortinet | - | 9.8(Fortinet) |
CWE-89 | SQLインジェクション | 2026/04/13 | FortiClientEMS |
| 2026/04/11 | 2026/03/30 | CVE-2026-34621 | NVD | Adobe | - | 8.6(Adobe) |
CWE-1321 | オブジェクトプロトタイプ属性の不適切に制御された変更 (プロトタイプの汚染) | 2026/04/13 | Acrobat Reader | |
| 2020/08/19 | 2020/03/02 | CVE-2020-9715 | NVD | Adobe | - | 7.8(NVD) 7.8(CISA-ADP) |
CWE-416 | 解放済みメモリの使用 | 2026/04/13 | Adobe Acrobat and Reader | |
| 2023/11/14 | 2023/06/21 | CVE-2023-36424 | NVD | Microsoft | - | 7.8(Microsoft) |
CWE-125 | 境界外読み取り | 2026/04/13 | Windows 11 version 22H3 | |
| 2025/11/11 | 2025/09/23 | CVE-2025-60710 | NVD | Microsoft | - | 7.8(Microsoft) |
CWE-59 | リンク解釈の問題 | 2026/04/13 | Windows 11 Version 24H2 | |
| 2023/02/14 | 2022/12/01 | CVE-2023-21529 | NVD | Microsoft | - | 8.8(Microsoft) |
CWE-502 | 信頼できないデータのデシリアライゼーション | 2026/04/13 | Microsoft Exchange Server 2019 Cumulative Update 11 | |
| 2012/07/10 | 2012/02/22 | CVE-2012-1854 | NVD | Microsoft | - | 7.8(CISA-ADP) |
CWE-426 | 信頼できない検索パス | 2026/04/13 | Visual Basic for Applications(VBA) |
【要約】
米CISAは、FortiClient EMS、Adobe Acrobat/Reader、Windows、Exchange Server、VBA関連など、実際に悪用が確認された脆弱性7件をKEVへ追加した。特にFortiClient EMSのCVE-2026-21643は認証不要で任意コード実行が可能なSQLインジェクションで、修正期限も短く設定されている。AdobeのゼロデイCVE-2026-34621やWindowsの権限昇格脆弱性なども含まれ、行政機関だけでなく一般利用者にも迅速な更新と対策が強く求められる。
【ニュース】
◆「FortiClient EMS」など7件が悪用脆弱性リストに追加 - 「Adobe」「MS」関連も (Security NEXT, 2026/04/14)
https://www.security-next.com/183364
【図表】
出典: https://www.security-next.com/183364
【関連まとめ記事】
◆SQLインジェクション (まとめ)
https://vul.hatenadiary.com/entry/SQLinjection
