サイバーセキュリティ・インフラストラクチャ安全保障庁(CISA)は、広く利用されているエンタープライズ向けソフトウェアおよび開発ツールに影響する4件の重大なセキュリティ欠陥を、既知の悪用されている脆弱性(KEV)カタログに追加しました。
すべての脆弱性は2026年1月22日に追加され、標準化された期限として2026年2月12日が設定されました。これにより、連邦機関および重要インフラ運用者は、パッチ適用または緩和策の実施が求められます。
今回の追加は、サプライチェーン侵害からインフラのオーケストレーション・プラットフォームに至るまで、複数の攻撃ベクトルにわたる活発な悪用パターンを反映しています。
影響を受ける製品を使用している組織は、ネットワーク内での不正アクセス、データ流出、ならびに横展開の可能性を防ぐため、修正対応を最優先する必要があります。
| ベンダー | 製品 | CVE ID | 脆弱性の種類 | 深刻度 |
|---|---|---|---|---|
| Prettier | eslint-config-prettier | CVE-2025-54313 | 埋め込まれた悪意のあるコード(CWE-506) | 重大 |
| Vite | Vitejs | CVE-2025-31125 | 不適切なアクセス制御(CWE-200、CWE-284) | 重大 |
| Versa | Concerto SD-WAN | CVE-2025-34026 | 不適切な認証(CWE-288) | 重大 |
| Synacor | Zimbra Collaboration Suite | CVE-2025-68645 | PHP リモートファイルインクルード(CWE-98) | 重大 |
影響を受ける製品と脆弱性の詳細
組織は、影響を受けるソフトウェアのバージョンが稼働しているシステムを直ちに監査する必要があります。
Prettier の eslint-config-prettier と Vite の Vitejs については、開発者はパッケージ依存関係を見直し、修正済みバージョンへ戻し、CI/CDログに不審な活動がないか監査すべきです。
Versa Concerto の導入環境では、資格情報のローテーションとネットワークセグメンテーションの分析が必要であり、特に管理インターフェースを公開しているシステムでは重要です。
Zimbra の管理者は、ベンダー提供のセキュリティ更新を適用し、脆弱なエンドポイントへのアクセスを制限するためにWebアプリケーションファイアウォールのルールを実装する必要があります。
CISAは、クラウドサービスを利用する連邦機関に対し、拘束力のある運用指令(Binding Operational Directive)22-01への準拠を強調しています。
組織は、開発・ステージング・本番環境にわたってパッチ展開を調整するとともに、予期しないプロセス実行、不正なファイルアクセス、異常な認証パターンなど、悪用の兆候を監視すべきです。
拡大されたKEVカタログは、開発ツールの侵害とインフラ脆弱性の収束を浮き彫りにしており、ソフトウェアサプライチェーン全体にわたる連携したインシデント対応と、先回りしたパッチ管理の必要性を示しています。
