米国CISA、SolarWinds Web Help Desk、Notepad++、Microsoft Configuration Manager、Appleデバイスの脆弱性を既知の悪用脆弱性(KEV)カタログに追加
Original Title: U.S. CISA adds SolarWinds Web Help Desk, Notepad++, Microsoft Configuration Manager, and Apple devices flaws to its Known Exploited Vulnerabilities catalog
Published (UTC): 2026-02-12T23:27:57+00:00
要旨(日本語)
– CISAは4件の脆弱性(SolarWinds Web Help Desk、Notepad++、Microsoft Configuration Manager、Appleデバイス)を既知の悪用脆弱性(KEV)カタログに追加。
– CVE-2024-43468(CVSS 9.8):Microsoft Configuration ManagerのSQLインジェクション。未認証で細工リクエストを送ると不安全な処理が発生し、サーバーやDB上でコマンド実行が可能に。
– CVE-2025-15556(CVSS 7.7):Notepad++のWinGUp使用版(v8.8.9未満)のアップデートに整合性検証欠如。通信を傍受された場合、悪意のインストーラを実行され、ユーザー権限で任意コード実行の恐れ。
– CVE-2025-40536(CVSS 8.1):SolarWinds Web Help Deskのセキュリティ制御バイパス。未認証で一部の制限機能にアクセスされ、機密機能の露出や全体的な防御低下を招く可能性。
– CVE-2026-20700(CVSS 7.8):Appleの複数バッファオーバーフロー。dyldのメモリ破損を悪用して任意コード実行が可能で、ゼロデイとして実際に悪用確認。
– AppleはiOS、iPadOS、macOS、watchOS、tvOS、visionOS向けに当該ゼロデイを修正するアップデートを公開。
– このApple脆弱性はGoogleのThreat Analysis Group(TAG)が発見・報告し、国家主体や商用スパイウェア業者による悪用の可能性が示唆。
– 連邦指令BOD 22-01により、FCEB機関はKEV掲載の脆弱性を期限内に是正してリスク低減が義務付けられる。
– 是正期限:原則2026年3月5日まで。例外としてCVE-2025-40536は2026年2月15日までに対応。
– 民間組織にもKEVカタログの定期的な確認と自社インフラの該当脆弱性対処が推奨される。