【KEVリスト】 ★: 本ブログ内リンク
| ★ |
KEV公開日 |
CVE公開日 |
CVE登録日 |
CVE番号 |
NVD |
ベンダー |
CVSS v4 |
CVSS v3 |
CWE |
脆弱性 |
備考 |
|---|---|---|---|---|---|---|---|---|---|---|---|
| 2026/01/07 | 2009/04/03 | 2009/02/12 | CVE-2009-0556 | NVD | Microsoft | - | 9.3(NVD) |
CWE-94 | コード・インジェクション | PowerPoint | |
| 2026/01/07 | 2025/12/16 | 2025/04/16 | CVE-2025-37164 | NVD | HPE | - | 9.8(NVD) 10.0(HPE) |
CWE-94 | コード・インジェクション | HPE OneView | |
| ★ | 2026/01/12 | 2025/12/10 | 2025/07/24 | CVE-2025-8110 | NVD | Gogs | - | 8.7(Wiz) |
CWE-22 | パス・トラバーサル | Gogs |
| 2026/01/13 | 2026/01/13 | 2025/12/03 | CVE-2026-20805 | NVD | Microsoft | - | 5.5(Microsoft) |
CWE-200 | 情報漏えい | Windows 10 | |
| 2026/01/21 | 2026/01/21 | 2025/10/08 | CVE-2026-20045 | NVD | Cisco | - | 8.2(NVD) |
CWE-94 | コード・インジェクション | Cisco Unified Communications Manager | |
| 2026/01/22 | 2025/12/22 | 2025/12/21 | CVE-2025-68645 | NVD | Zimbra | - | 8.8(CISA-ADP) |
CWE-98 | PHP リモートファイルインクルージョン | Zimbra Collaboration Suite (ZCS) | |
| 2026/01/22 | 2025/05/21 | 2025/04/15 | CVE-2025-34026 | NVD | Versa | - | 9.2(VulnCheck) |
CWE-288 | 代替パスまたはチャネルを使用した認証回避 | Concerto | |
| 2026/01/22 | 2025/03/31 | 2025/03/26 | CVE-2025-31125 | NVD | vitejs | - | 7.5(NVD) 5.3(GitHUB) |
CWE-200 CWE-284 |
情報漏えい 不適切なアクセス制御 |
Vite | |
| 2026/01/22 | 2025/07/19 | 2025/07/19 | CVE-2025-54313 | NVD | prettier | - | 7.5(MITRE) |
CWE-506 | 埋め込まれた悪意のあるコード | eslint-config-prettier | |
| 2026/01/23 | 2024/06/18 | 2024/06/03 | CVE-2024-37079 | NVD | Broadcom | - | 9.8(VMware) |
CWE-787 | 境界外書き込み | VMware vCenter | |
| 2026/01/26 | 2018/09/25 | 2018/07/27 | CVE-2018-14634 | NVD | Linux Foundation | - | 7.8(Red Hat) |
CWE-190 | 整数オーバーフローまたはラップアラウンド | Linux Kernel | |
| 2026/01/26 | 2025/12/29 | 2025/06/19 | CVE-2025-52691 | NVD | SmarterTools | - | 10.0(CSA) |
CWE-434 | 危険なタイプのファイルの無制限アップロード | SmarterMail | |
| 2026/01/26 | 2026/01/22 | 2026-01-15 | CVE-2026-23760 | NVD | SmarterTools | 9.3(VulnCheck) |
- | CWE-288 | 代替パスまたはチャネルを使用した認証回避 | SmarterMail | |
| ★ | 2026/01/26 | 2026/01/21 | 2026/01/21 | CVE-2026-24061 | NVD | GNU | - | 9.8(MITRE) |
CWE-88 | 引数の挿入または変更 | GNU Inetutils telnetd |
| ★ | 2026/01/26 | 2026/01/26 | 2025/12/30 | CVE-2026-21509 | NVD | Microsoft | - | 7.8(Microsoft) |
CWE-807 | セキュリティ決定の信頼できない入力への依存 | MS Office |
| ★ | 2026/01/27 | 2026/01/27 | 2026/01/27 | CVE-2026-24858 | NVD | Fortinet | - | 9.8(Fortinet) |
CWE-288 | 代替パスまたはチャネルを使用した認証回避 | Fortinet製品 |
| 2026/01/29 | 2026/01/29 | 2026/01/21 | CVE-2026-1281 | NVD | ivanti | - | 9.8(ivanti) |
CWE-94 | コード・インジェクション | Ivanti Endpoint Manager | |
| ★ | 2026/02/03 | 2021/12/13 | 2021/08/23 | CVE-2021-39935 | NVD | GitLab | - | 7.5(NVD) 6.8(GitLab) |
CWE-918 | サーバサイドのリクエストフォージェリ | GitLab Community and Enterprise Editions |
| 2026/02/03 | 2025/11/07 | 2025/10/30 | CVE-2025-64328 | NVD | FreePBX | 8.6(GitHub) |
7.2(NVD) |
CWE-78 | OSコマンドインジェクション | FreePBX Endpoint Manager | |
| 2026/02/03 | 2019/11/21 | 2019/11/15 | CVE-2019-19006 | NVD | FreePBX | - | 9.8(NVD) 9.8(CISA-ADP) |
CWE-287 | 不適切な認証 | Sangoma FreePBX | |
| 2026/02/03 | 2026/01/28 | 2025/04/16 | CVE-2025-40551 | NVD | SolarWinds | - | 9.8(SolarWinds) |
CWE-502 | 信頼できないデータのデシリアライゼーション | SolarWinds Web Help Desk | |
| 2026/02/05 | 2025/11/03 | 2025/10/20 | CVE-2025-11953 | NVD | React | - | 9.8(JFog) |
CWE-78 | OSコマンドインジェクション | React Native CLI | |
| 2026/02/05 | 2026/01/23 | 2026/01/22 | CVE-2026-24423 | NVD | SmarterTools | 9.3(VulnCheck) |
9.8(NVD) |
CWE-306 | 重要な機能に対する認証の欠如 | SmarterTools SmarterMail | |
| 2026/02/10 | 2025/11/07 | 2025/10/30 | CVE-2026-21513 | NVD | Microsoft | - | 8.8(NVD) |
CWE-693 | 保護メカニズムの不具合 | Windows 10 Version 1607 | |
| 2026/02/10 | 2026/02/10 | 2025/12/30 | CVE-2026-21525 | NVD | Microsoft | - | 6.2(Microsoft) |
CWE-476 | NULL ポインタデリファレンス | Windows 10 Version 1607 | |
| 2026/02/10 | 2026/02/10 | 2025/12/30 | CVE-2026-21510 | NVD | Microsoft | - | 8.8(Microsoft) |
CWE-693 | 保護メカニズムの不具合 | Windows 10 Version 1607 | |
| 2026/02/10 | 2026/02/10 | 2025/12/30 | CVE-2026-21533 | NVD | Microsoft | - | 7.8(Microsoft) |
CWE-269 | 不適切な権限管理 | Windows 10 Version 1607 | |
| 2026/02/10 | 2026/02/10 | 2025/12/30 | CVE-2026-21519 | NVD | Microsoft | - | 7.8(Microsoft) |
CWE-843 | 型の取り違え | Windows 10 Version 1607 | |
| 2026/02/10 | 2026/02/10 | 2025/12/30 | CVE-2026-21514 | NVD | Microsoft | - | 7.8(Microsoft) |
CWE-807 | セキュリティ決定の信頼できない入力への依存 | Microsoft 365 Apps for Enterprise | |
| 2026/02/12 | 2026/01/28 | 2025/04/16 | CVE-2025-40536 | NVD | SolarWinds | - | 9.8(NVD) 8.1(SolarWinds) |
CWE-693 | 保護メカニズムの不具合 | SolarWinds Web Help Desk | |
| 2026/02/12 | 2024/10/08 | 2024/08/14 | CVE-2024-43468 | NVD | Microsoft | - | 9.8(Microsoft) |
CWE-89 | SQLインジェクション | Microsoft Configuration Manager | |
| 2026/02/12 | 2026/02/03 | 2026/02/02 | CVE-2025-15556 | NVD | notepad-plus-plus | 7.7(VulnCheck) |
7.5(NVD) |
CWE-494 | ダウンロードしたコードの完全性検証不備 | Notepad++ | |
| ★ | 2026/02/12 | 2026/02/11 | 2025/11/11 | CVE-2026-20700 | NVD | Apple | - | 7.8(CISA-ADV) |
CWE-119 | バッファエラー | dyld (Apple) |
| ★ | 2026/02/13 | 2026/02/06 | 2026/01/31 | CVE-2026-1731 | NVD | BeyondTrust | 9.9(BeyondTrust) |
- | CWE-78 | OSコマンドインジェクション | BeyondTrust Remote Support (RS) and Privileged Remote Access (PRA) |
| ★ | 2026/02/17 | 2026/02/13 | 2026/02/13 | CVE-2026-2441 | NVD | - | 8.8(CISA-ADP) |
CWE-416 | 解放済みメモリの使用 | Chrome | |
| 2026/02/17 | 2009/07/07 | 2007-12-13 | CVE-2008-0015 | NVD | Microsoft | - | 8.8(CISA-ADP) |
CWE-119 CWE-121 |
バッファエラー スタックベースのバッファオーバーフロー |
||
| 2026/02/17 | 2024/08/12 | 2024/08/12 | CVE-2024-7694 | NVD | TeamT5 | - | 7.2(TWCERT/CC) |
CWE-434 | 危険なタイプのファイルの無制限アップロード | ThreatSonar Anti-Ransomware | |
| 2026/02/17 | 2020/02/18 | 2020/01/22 | CVE-2020-7796 | NVD | Zimbra | - | 9.8(NVD) 9.8(CISA-ADP) |
CWE-918 | サーバサイドのリクエストフォージェリ | ||
| 2026/02/18 | 2026/02/17 | 2026/01/09 | CVE-2026-22769 | NVD | Dell | - | 10.0(Dell) |
CWE-798 | ハードコードされた認証情報の使用 | RecoverPoint for Virtual Machines | |
| 2026/02/18 | 2021/06/11 | 2021/01/05 | CVE-2021-22175 | NVD | GitLab | - | 9.8(NVD) 6.8(GitLab) |
CWE-918 | サーバサイドのリクエストフォージェリ | GitLab | |
| 2026/02/24 | 2026/02/13 | 2026/01/30 | CVE-2026-25108 | NVD | Soliton | - | 8.7(JPCERT/CC) |
CWE-78 | CWE-78 | FileZen | |
| 2026/02/25 | 2022/09/30 | 2021/11/02 | CVE-2022-20775 | NVD | Cisco | - | 7.8(Cisco) |
CWE-22 CWE-25 |
パス・トラバーサル パストラバーサル (/../filedir) |
Cisco SD-WAN vManage | |
| 2026/02/25 | 2026/02/25 | 2025/10/08 | CVE-2026-20127 | NVD | Cisco | - | 10.0(Cisco) |
CWE-287 | 不適切な認証 | Cisco Catalyst SD-WAN Manager | |
| 2026/03/03 | 2026/02/25 | 2026/01/09 | CVE-2026-22719 | NVD | Broadcom | - | 81(NVD) |
CWE-77 | コマンドインジェクション | VMware Aria Operations | |
| 2026/03/03 | 2026/03/02 | 2025/12/17 | CVE-2026-21385 | NVD | Qualcomm | - | 7.8(Qualcomm) |
CWE-190 | 整数オーバーフローまたはラップアラウンド | Snapdragon | |
| 2026/03/05 | 2017/05/06 | 2017/04/18 | CVE-2017-7921 | NVD | Hikvision | - | 10.0(NVD) 9.8(CISA-ADP) |
CWE-287 | 不適切な認証 | Hikvision Cameras | |
| 2026/03/05 | 2021/03/03 | 2021/01/05 | CVE-2021-22681 | NVD | ベンダー | - | 9.8(NVD) 9.8(CISA-ADP) |
CWE-522 | CWE-522 | Rockwell Automation Studio | |
| 2026/03/05 | 2025/11/05 | 2023/09/14 | CVE-2023-43000 | NVD | Apple | - | 8.8(NVD) 8.8(CISA-ADP) |
CWE-416 | 解放済みメモリの使用 | macOS | |
| 2026/03/05 | 2021/08/24 | 2021/04/13 | CVE-2021-30952 | NVD | Apple | - | 7.8(NVD) 8.8(CISA-ADP) |
CWE-190 | 整数オーバーフローまたはラップアラウンド | watchOS | |
| 2026/03/05 | 2024/01/10 | 2023/09/06 | CVE-2023-41974 | NVD | Apple | - | 7.8(NVD) 7.8(CISA-ADP) |
CWE-416 | 解放済みメモリの使用 | iOS and iPadOS | |
| 2026/03/09 | 2021/12/17 | 2021/01/04 | CVE-2021-22054 | NVD | (VMware) | - | 7.5(NVD) 7.5(CISA-ADP) |
CWE-918 | サーバサイドのリクエストフォージェリ | Omnissa Workspace ONE UEM(旧VMware Workspace ONE UEM) | |
| 2026/03/09 | 2025/09/23 | 2025/02/08 | CVE-2025-26399 | NVD | SolarWinds | - | 9.8(SolarWinds) |
CWE-502 | 信頼できないデータのデシリアライゼーション | SolarWinds Web Help Desk(WHD) | |
| 2026/03/09 | 2026/02/10 | 2026/01/29 | CVE-2026-1603 | NVD | Ivanti | - | 7.5(NVD) 8.6(Ivanti) |
CWE-306 CWE-288 |
重要な機能に対する認証の欠如 代替パスまたはチャネルを使用した認証回避 |
Endpoint Manager | |
| 2026/03/11 | 2025/12/19 | 2025/12/19 | CVE-2025-68613 | NVD | n8n-io | - | 8.8(NVD) 9.9(GitHub) |
CWE-913 | 動的に操作されるコードリソースの不適切な制御 | n8n | |
| 2026/03/13 | 2026/03/12 | 2026/03/11 | CVE-2026-3910 | NVD | - | 7.8(NVD) 7.8(CISA-ADP) |
CWE-94 CWE-119 |
コード・インジェクション バッファエラー |
Chrome | ||
| 2026/03/13 | 2026/03/12 | 2026/03/11 | CVE-2026-3909 | NVD | - | 8.8(NVD) 8.8(CISA-ADP) |
CWE-787 | 境界外書き込み | Chrome |
【DB】
◆既知の悪用された脆弱性カタログ(日本語版)(Kokumoto)
https://kev.kokumoto.com/
◆Known Exploited Vulnerabilities Catalog (CISA)
https://www.cisa.gov/known-exploited-vulnerabilities-catalog
【KEV】
◆CVE-2025-8110 (まとめ)
https://vul.hatenadiary.com/entry/CVE-2025-8110
◆CVE-2025-53690 (まとめ)
https://vul.hatenadiary.com/entry/CVE-2025-53690
◆Gogs (まとめ)
https://vul.hatenadiary.com/entry/Gogs
【ニュース】
■2026年
◇2026年1月
◆米当局、「MongoDB」脆弱性の悪用に注意喚起 (Security NEXT, 2026/01/05)
https://www.security-next.com/179210
⇒ https://vul.hatenadiary.com/entry/2026/01/05/000000
◆国内で「MongoBleed」悪用被害は未確認 - 攻撃増加に要警戒 (Security NEXT, 2026/01/07)
https://www.security-next.com/179366
⇒ https://vul.hatenadiary.com/entry/2026/01/07/000000_3
◆米政府、「HPE OneView」「PowerPoint」の脆弱性悪用に注意喚起 (Security NEXT, 2026/01/08)
https://www.security-next.com/179430
⇒ https://vul.hatenadiary.com/entry/2026/01/08/000000_2
◆CISA Flags Actively Exploited Gogs Vulnerability With No Patch (Infosecurity Magazine, 2026/01/14)
[CISA、パッチ未適用のGogs脆弱性が積極的に悪用されていると警告]
https://www.infosecurity-magazine.com/news/cisa-flags-exploited-gogs-flaw-no/
⇒ https://vul.hatenadiary.com/entry/2026/01/14/000000_4
◆CISA Flags Actively Exploited Gogs Vulnerability With No Patch (Infosecurity Magazine, 2026/01/14)
[CISA、パッチ未適用のGogs脆弱性が積極的に悪用されていると警告]
https://www.infosecurity-magazine.com/news/cisa-flags-exploited-gogs-flaw-no/
⇒ https://vul.hatenadiary.com/entry/2026/01/14/000000_4
◆米当局、Ciscoのコミュニケーション製品の脆弱性悪用に注意喚起 (Security NEXT, 2026/01/22)
https://www.security-next.com/179987
⇒ https://vul.hatenadiary.com/entry/2026/01/22/000000
◆U.S. CISA adds a flaw in Broadcom VMware vCenter Server to its Known Exploited Vulnerabilities catalog (Security Affairs, 2026/01/24)
[米国サイバーセキュリティ・インフラセキュリティ庁(CISA)は、Broadcom VMware vCenter Serverの脆弱性を「既知の悪用されている脆弱性」カタログに追加した]
https://securityaffairs.com/187267/security/u-s-cisa-adds-a-flaw-in-broadcom-vmware-vcenter-server-to-its-known-exploited-vulnerabilities-catalog.html
⇒ https://vul.hatenadiary.com/entry/2026/01/24/000000
◆「MS Office」にゼロデイ脆弱性、すでに悪用も - アップデートを公開 (Security NEXT, 2026/01/27)
https://www.security-next.com/180171
⇒ https://vul.hatenadiary.com/entry/2026/01/27/000000
◆Fortinet Patches Exploited FortiCloud SSO Authentication Bypass (SecurityWeek, 2026/01/28 03:05)
[Fortinet、FortiCloud SSO認証バイパス脆弱性を修正]Tracked as CVE-2026-24858, the bug allows attackers to log into devices registered to other FortiCloud accounts.
[CVE-2026-24858として追跡されているこの脆弱性により、攻撃者は他のFortiCloudアカウントに登録されたデバイスにログインすることが可能となる]https://www.securityweek.com/fortinet-patches-exploited-forticloud-sso-authentication-bypass/
⇒ https://vul.hatenadiary.com/entry/2026/01/28/000000_3
◆複数Fortinet製品に脆弱性、すでに悪用も - 更新や侵害有無の確認を (Security NEXT, 2026/01/28)
https://www.security-next.com/180237
⇒ https://vul.hatenadiary.com/entry/2026/01/28/000000
◇2026年2月
◆悪用リストに脆弱性4件登録 - サポートツールやPBXなど3製品 (Security NEXT, 2026/02/04)
https://www.security-next.com/180571
⇒ https://vul.hatenadiary.com/entry/2026/02/04/000000_1
◆「React Native CLI」や「SmarterMail」の脆弱性悪用に警戒を - ランサムでも (Security NEXT, 2026/02/06)
https://www.security-next.com/180672
⇒ https://vul.hatenadiary.com/entry/2026/02/06/000000_5
◆米当局、MS関連のゼロデイ脆弱性6件を悪用リストに追加 (Security NEXT, 2026/02/11)
https://www.security-next.com/180900
⇒ https://vul.hatenadiary.com/entry/2026/02/11/000000_2
◆「SolarWinds WHD」など4製品の脆弱性悪用に注意喚起 - 米当局 (Security NEXT, 2026/02/13)
https://www.security-next.com/180969
⇒ https://vul.hatenadiary.com/entry/2026/02/13/000000_5
◆CISA flags critical Microsoft SCCM flaw as exploited in attacks (BleepingComputer, 2026/02/13 07:35)
[CISA、Microsoft SCCMの重大な脆弱性が攻撃に悪用されたと警告]
https://www.bleepingcomputer.com/news/security/cisa-flags-microsoft-configmgr-rce-flaw-as-exploited-in-attacks/
⇒ https://vul.hatenadiary.com/entry/2026/02/13/000000_3
◆米当局、脆弱性悪用リストに4件追加 - ランサム対策製品の脆弱性も (Security NEXT, 2026/02/18)
https://www.security-next.com/181155
⇒ https://vul.hatenadiary.com/entry/2026/02/18/000000_7
◆CISA Flags Four Security Flaws Under Active Exploitation in Latest KEV Update (The Hacker News, 2026/02/18)
[CISA、最新のKEV更新で悪用が活発な4つのセキュリティ脆弱性を指摘]
https://thehackernews.com/2026/02/cisa-flags-four-security-flaws-under.html
⇒ https://vul.hatenadiary.com/entry/2026/02/18/000000_1
◆CISA: Recently patched RoundCube flaws now exploited in attacks (BleepingComputer, 2026/02/23 06:44)
[CISA:最近修正されたRoundCubeの脆弱性が攻撃で悪用される]
https://www.bleepingcomputer.com/news/security/cisa-recently-patched-roundcube-flaws-now-exploited-in-attacks/
⇒ https://vul.hatenadiary.com/entry/2026/02/23/000000_1
◆ウェブメール「Roundcube」の脆弱性2件が攻撃の標的に (Security NEXT, 2026/02/24)
https://www.security-next.com/181309
⇒ https://vul.hatenadiary.com/entry/2026/02/24/000000_1
◆米当局、ファイル転送製品「FileZen」の脆弱性悪用に注意喚起 (Security NEXT, 2026/02/25)
https://www.security-next.com/181375
⇒ https://vul.hatenadiary.com/entry/2026/02/25/000000_5
◆ゼロデイ攻撃による「Cisco SD-WAN」侵害を確認 - 米当局が緊急指令 (Security NEXT, 2026/02/26)
https://www.security-next.com/181440
⇒ https://vul.hatenadiary.com/entry/2026/02/26/000000_1
◇2026年3月
◆米当局、悪用カタログに既知脆弱性5件を登録 - AppleやRockwellなど (Security NEXT, 2026/03/06)
https://www.security-next.com/181805
⇒ https://vul.hatenadiary.com/entry/2026/03/06/000000_2
◆米当局、「Ivanti EPM」など3製品の脆弱性悪用に注意喚起 (Security NEXT, 2026/03/10)
https://www.security-next.com/181907
⇒ https://vul.hatenadiary.com/entry/2026/03/10/000000
◆連日「Chrome」が緊急アップデート - 前回未修正のゼロデイ脆弱性に対処 (Security NEXT, 2026/03/14)
https://www.security-next.com/182164
⇒ https://vul.hatenadiary.com/entry/2026/03/14/000000
【ブログ】
■2026年
◇2026年2月
◆CVE-2021-39935:GitLab CI Lint API におけるサーバーサイドリクエストフォージェリ脆弱性 (Criminal IP, 2026/02/11)
https://criminalip.co.jp/2026/02/11/cve-2021-39935%EF%BC%9Agitlab-ci-lint-api-%E3%81%AB%E3%81%8A%E3%81%91%E3%82%8B%E3%82%B5%E3%83%BC%E3%83%90%E3%83%BC%E3%82%B5%E3%82%A4%E3%83%89%E3%83%AA%E3%82%AF%E3%82%A8%E3%82%B9%E3%83%88%E3%83%95/
⇒ https://vul.hatenadiary.com/entry/2026/02/11/000000_1
【検索】
google:news: KEV
google:news: KEV 2026
google: site:virustotal.com KEV
google: site:virustotal.com KEV 2026
google: site:github.com KEV
google: site:github.com KEV 2026
■Bing
https://www.bing.com/search?q=KEV
https://www.bing.com/search?q=KEV%202026
https://www.bing.com/news/search?q=KEV
https://www.bing.com/news/search?q=KEV%202026
https://twitter.com/search?q=%23KEV
https://twitter.com/search?q=%23KEV%202026
https://twitter.com/hashtag/KEV
https://twitter.com/hashtag/KEV%202026
