米国サイバーセキュリティ機関CISAは月曜日、既知の悪用された脆弱性(KEV)カタログに8つのさらなる欠陥を追加しました。そのうち3つは以前に悪用されたフラグが付けられていません。
これらの中で最も最近のものはCVE-2026-20133で、Cisco Catalyst SD-WAN Managerの高重大度情報開示バグです。2月にパッチが適用されました。
不十分なファイルシステムアクセス制限により、攻撃者が影響を受けたシステムのAPIにアクセスし、基盤となるオペレーティングシステムの情報を読み取ることができる可能性があります。
このCVEは2月にCVE-2026-20122およびCVE-2026-20128と同時に開示されました。これらは、Ciscoが3月に悪用されたとしてフラグを付けた2つのSD-WAN欠陥です。現在、CISAはこれら3つすべてをKEVリストに追加しています。
機関はまた、昨年Kentico XperienceおよびZimbra Collaboration Suite(ZCS)で開示された2つのセキュリティ欠陥が、どちらもリモートコード実行(RCE)につながるもので、攻撃で悪用されていることを警告しました。
CVE-2025-2749として追跡されるKenticoのバグは、パストラバーサルと任意ファイルアップロードの問題として説明され、攻撃者がサーバー上のコンテンツをリモートで実行できる可能性があります。
この弱点が存在するのは、Kentico Xperienceバージョン13.0.178以前のStaging Sync Serverが任意のファイルをパス相対位置にアップロードするためです。成功した悪用には認証が必要です。
昨年3月、WatchTowrは、ハッカーが認証されたRCE問題を含むKenticoの3つの欠陥を連鎖させてデプロイを侵害できることを説明しました。CVE-2025-2746およびCVE-2025-2747として追跡される2つの弱点は、10月にCISAのKEVカタログに追加されました。
CISAが今週KEVに追加したZCS脆弱性はCVE-2025-48700で、Zimbra Classic UIのXSSバグです。ユーザーのセッション内でJavaScriptコードを実行するために悪用される可能性があります。
HTMLコンテンツの不十分なサニタイゼーションに根ざした、この欠陥はユーザーがClassic UIで細工されたメッセージを開くときにトリガーされる可能性があります。
月曜日にCISAのKEVに追加された他の3つの欠陥には、CVE-2025-32975(先月潜在的に悪用されたとしてフラグが付けられたクリティカルなQuest KACEの問題)、CVE-2024-27199(2年以上にわたって悪用されているJetBrains TeamCityの弱点)、およびCVE-2023-27351(2023年4月以来悪用されているPaperCut欠陥)が含まれます。
CISAは、連邦機関がCiscoおよびZimbra脆弱性を4月23日までにパッチ当てし、他の4つの問題を5月4日までにパッチ当てることを促しています。
翻訳元: https://www.securityweek.com/organizations-warned-of-exploited-cisco-kentico-zimbra-vulnerabilities/
