米国サイバーセキュリティ機関CISAは月曜日、Windows SMBクライアントおよびKentico Xperience CMSで最近公開された脆弱性が実際に悪用されていると警告しました。
Windowsの脆弱性(CVE-2025-33073、CVSSスコア8.8)は、6月に修正されており、その際Microsoftはこの脆弱性を狙った概念実証(PoC)エクスプロイトコードが存在すると警告していました。
ネットワーク経由で悪用可能なこのバグは、不適切なアクセス制御の問題であり、認証済みの攻撃者がSystem権限へ昇格できる可能性があります。
「この脆弱性を悪用するには、攻撃者が特別に細工された悪意のあるスクリプトを実行し、被害者のマシンにSMBを使って攻撃システムへ接続・認証させることができます。これにより権限昇格が発生する可能性があります」と、Microsoftのアドバイザリは述べています。
月曜日、CISAはWindows SMBの欠陥を、Kentico Xperience CMSの2つの認証バイパス脆弱性とともに、既知の悪用脆弱性(KEV)リストに追加しました。
Kenticoのバグ(CVE-2025-2746およびCVE-2025-2747、CVSSスコア9.6)は、CMSのStaging Sync Serverのパスワード処理に影響し、攻撃者が管理オブジェクトを制御できる可能性があります。
この2つの脆弱性は、WatchTowrが3月に解説しており、認証済みリモートコード実行の欠陥と組み合わせてXperience CMSの導入環境を侵害できる可能性があります。
CISAは月曜日、Apple製品の任意コード実行の問題であるCVE-2022-48503(CVSSスコア8.8)も実際に悪用されていると警告しました。
広告。スクロールして続きをお読みください。
Appleはこのセキュリティホールを、macOS Monterey 12.5、iOS 15.6、iPadOS 15.6、Safari 15.6、tvOS 15.6、watchOS 8.7のJavaScriptCoreコンポーネントで2022年7月に修正しました。
Kenticoは、Xperienceバージョン13.0.173および13.0.178で認証バイパスのバグを修正しました。
Binding Operational Directive(BOD)22-01に従い、これらの脆弱性がKEVカタログに追加されたことで、連邦機関は3週間以内に自組織内の脆弱なインスタンスを特定し、利用可能な修正を適用する必要があります。
CISAの警告前に、これらのバグが悪用されたという報告はないようです。
翻訳元: https://www.securityweek.com/cisa-warns-of-exploited-apple-kentico-microsoft-vulnerabilities/
