米国のサイバーセキュリティ・インフラストラクチャ安全保障庁(CISA)は、VersaおよびZimbraの企業向けソフトウェア、Viteフロントエンドツールフレームワーク、そしてPrettierコードフォーマッタに影響する4つの脆弱性が実際に悪用されていると警告しました。
これらのセキュリティ問題はCISAのKEV(Known Exploited Vulnerabilities:既知の悪用されている脆弱性)カタログに追加されており、同庁が、攻撃者がこれらを実環境で悪用している証拠を把握していることを示しています。
脆弱性の1つはCVE-2025-31125で、昨年3月に公開された高深刻度の不適切なアクセス制御の問題です。サーバーが明示的にネットワークへ公開されている場合に悪用され、許可されていないファイルが露出する可能性があります。
この問題は公開されている開発用インスタンスのみに影響し、バージョン6.2.4、6.1.3、6.0.13、5.4.16、4.5.11で修正されています。
CISAが悪用されているとした別のバグはCVE-2025-34026で、2025年5月に公開されたVersa Concerto SD-WANオーケストレーションプラットフォームにおける重大(クリティカル)な認証バイパスです。Traefikリバースプロキシの設定不備が原因で、内部のActuatorエンドポイントを含む管理用エンドポイントへアクセスできてしまい、ヒープダンプやトレースログが露出します。
影響を受ける製品はConcerto 12.1.2から12.2.0ですが、追加のバージョンも影響を受ける可能性があります。
サイバーセキュリティ企業ProjectDiscoveryの研究者は2025年2月13日にこの問題をベンダーへ報告しており、Versa Concertoは2025年3月7日に修正したとBleepingComputerに確認しました。
米国のサイバーセキュリティ当局はまた、CVE-2025-54313も攻撃で悪用されているとしており、これはサプライチェーン侵害に起因する高深刻度の脆弱性で、コードリンターESLintとPrettierコードフォーマッタ間の競合を解消するためのeslint-config-prettier パッケージに影響します。
昨年7月、攻撃者は複数の人気JavaScriptライブラリ(その中には「eslint-config-prettier」も含まれる)を乗っ取り、悪意のあるコードを埋め込んだバージョンをnpm上で公開しました。
影響を受けるパッケージ(バージョン8.10.1、9.1.1、10.1.6、10.1.7)をインストールすると、悪意のあるinstall.jsスクリプトが実行され、Windows上でnode-gyp.dllペイロードを起動してnpmの認証トークンを窃取しました。
CISAはまた、CVE-2025-68645が悪用されていることについても警告しました。この脆弱性は2025年12月22日に公開され、Zimbra Collaboration Suite 10.0および10.1のWebmail Classic UIにおけるローカルファイルインクルージョン(LFI)脆弱性です。
このバグは、RestFilterサーブレットにおけるユーザー提供パラメータの不適切な処理が原因です。未認証の攻撃者は/h/restエンドポイントを悪用して、WebRootディレクトリから任意のファイルを取り込むことができます。
CISAは現在、BOD 22-01指令の対象となるすべての連邦機関に対し、2026年2月12日までに利用可能なセキュリティ更新またはベンダー推奨の緩和策を適用するか、製品の使用を停止することを求めています。
同庁は悪用活動に関する詳細を共有しておらず、ランサムウェア攻撃でのこれらの欠陥の利用状況は「不明」とされました。
