サイバーセキュリティ・インフラストラクチャ安全保障庁(CISA)は2026年1月22日、既知の悪用されている脆弱性(KEV)カタログに重大な脆弱性4件を追加し、野外での活発な悪用を示しました。
これらの脆弱性は、開発ツール、SD-WANインフラ、メールプラットフォーム、パッケージマネージャにまたがり、複数の攻撃面にわたって組織に影響を与えます。
この追加は、脅威アクターがこれらの欠陥を積極的に悪用している、差し迫った脅威状況を反映しています。
4件すべての脆弱性には2026年2月12日の修正期限が設定されており、連邦システムおよび重要インフラ運用者向けのCISAの拘束力のある運用指令(BOD 22-01)に整合しています。
Prettierのeslint-config-prettierパッケージには、インストール時に実行される埋め込み悪意のあるコード(CVE-2025-54313)が含まれています。
この脆弱性により、Windowsシステム上でinstall.jsファイルがnode-gyp.dllマルウェアを展開し、開発環境を標的とするサプライチェーン攻撃ベクターが生まれます。
これは、ソフトウェア開発パイプラインおよびCI/CDインフラにとって重大なリスクを意味します。
不適切なアクセス制御に起因する2つの別個の脆弱性が、機微データと管理機能を露出させます。Vite Vitejs(CVE-2025-31125)は、クエリパラメータの操作(?inline&import および ?raw?import)により、許可されていないファイル内容へ攻撃者がアクセスできるようにしますが、ネットワークに明示的に公開されている開発サーバーにのみ影響します。
Versa ConcertoのSD-WANプラットフォーム(CVE-2025-34026)には、Traefikリバースプロキシ設定における認証バイパスが含まれており、未承認の管理者アクセスや、ヒープダンプおよびトレースログの露出を可能にします。
Synacor Zimbra Collaboration Suite(CVE-2025-68645)は、PHPのリモートファイルインクルード脆弱性の影響を受けます。
攻撃者は/h/restエンドポイントへのリクエストを細工してリクエストのディスパッチを操作し、WebRootディレクトリから任意のファイルを取り込める可能性があります。メールプラットフォームは、企業侵害における初期アクセスベクターとして頻繁に狙われます。
組織は、これらの脆弱性のパッチ適用を直ちに最優先にすべきです。連邦機関はBOD 22-01の遵守要件に直面しており、民間部門の組織は自社の露出状況を評価し、ベンダー提供のパッチを適用するか、緩和策が利用できない場合はサービス利用を中止すべきです。
開発ツールからメールインフラに至るまで影響を受けるソフトウェアが多岐にわたることは、広範な脅威状況を浮き彫りにしています。