米国サイバーセキュリティ・インフラセキュリティ庁(CISA)は最近、既知の悪用された脆弱性(KEV)カタログを更新し、わずか18時間のうちに重要なソフトウェア欠陥を5件追加しました。新たに特定された脆弱性には、VersaやZimbraといった企業向けソリューションに影響するものに加え、ViteやPrettierなどの開発者向けツールに影響するものも含まれています。
1月22日、CISAはこれらのさまざまな脆弱性をカタログに取り込み、その後、VMwareのvCenter Serverにおける重大な欠陥も追加しました。これにより、今年に入ってカタログで認定された「悪用された脆弱性」は10件目となりました。
標準的な手順に従い、CISAは関与した脅威アクターの身元や具体的な悪用手法の詳細を公表しませんでした。しかし同庁は、これらの脆弱性が悪意あるサイバー主体によって一般的に狙われており、連邦政府の運用に深刻なリスクをもたらすと示しました。
Versa、Zimbra、VMwareソフトウェアにおける重大な欠陥
Versa Concertoに影響する脆弱性(CVE-2025-34026)は深刻度9.2と評価されています。この欠陥は、SD-WANオーケストレーション・プラットフォームのTraefikリバースプロキシ設定における不適切な認証に関するものです。攻撃者が、ヒープダンプやトレースログへのアクセスを提供する内部アクチュエータ・エンドポイントを含む機微な管理用エンドポイントにアクセスできる可能性があるため、重大なリスクとなります。本問題は12.1.2から12.2.0までのバージョンに影響しますが、国家脆弱性データベース(NVD)からは、さらに他のバージョンもリスクにさらされる可能性があるとの警告が出ています。
Project Discoveryは昨年、この脆弱性を他の2件とともに最初に発見しました。別の重要な事例として、深刻度9.8のCVE-2024-37079はBroadcomのVMware vCenter Serverに影響します。この境界外書き込み/ヒープオーバーフローの脆弱性は、DCERPCプロトコルの実装に関連しています。NVDによれば、vCenter Serverにネットワークアクセスできる悪意ある主体が、特別に細工したパケットを送信することでこの欠陥を悪用し、リモートコード実行につながる可能性があります。
The Cyber Expressは以前、CVE-2024-37079およびvCenterにおける関連脆弱性に関する懸念すべき可能性を取り上げ、同製品が世界的に広く利用されていることが、このような重大な欠陥を脅威アクターが悪用する可能性を高めると指摘しました。
さらに、深刻度8.8のCVE-2025-68645は、Zimbra Collaboration(ZCS)バージョン10.0および10.1のClassic Webmail UIで見つかったローカルファイルインクルージョン(LFI)脆弱性です。この欠陥は、RestFilterサーブレットにおけるユーザー要求パラメータの不適切な取り扱いに起因し、未認証の攻撃者が/h/restエンドポイントに対するリクエストを細工できるようになります。これにより内部のリクエストルーティングに影響を与え、WebRootディレクトリから任意のファイルを取り込める可能性があり、重大なセキュリティ上の脅威となります。
また、CVE-2025-54313は、Prettierコード整形ツールに関連するeslint-config-prettierパッケージに影響する、深刻な埋め込み型の悪意あるコード脆弱性として特定されました。この脆弱性は7月のサプライチェーン攻撃に起因します。具体的には、バージョン8.10.1、9.1.1、10.1.6、10.1.7に埋め込まれた悪意あるコードがinstall.jsファイルを実行し、その結果、Windowsシステム上でnode-gyp.dllマルウェアを展開できるとNVDは述べています。
さらに、CVE-2025-31125は、JavaScript向けフロントエンドツールフレームワークであるViteにおける不適切なアクセス制御に関連する、中〜高程度の深刻度の問題を示しています。この脆弱性により、アプリケーションがVite開発サーバーをネットワークに明示的に公開している場合、制限されたファイルの内容が意図せず露出する可能性があります。バージョン6.2.4、6.1.3、6.0.13、5.4.16、4.5.11で問題を修正する更新が提供され、状況は改善しています。
