CISAは、Widget Factory Joomla Content Editorにおける不適切なアクセス制御の脆弱性であるCVE-2026-48907を、既知の悪用済み脆弱性（KEV）カタログに追加しました。この脆弱性は現在積極的に悪用されており、連邦システムに重大なリスクをもたらしています。バインディング運用指令（BOD）26-04は、脆弱性管理に関する連邦民間執行機関（FCEB）の要件を更新します。この指令は、特に公開されている資産で悪用後に完全な制御を可能にするKEVカタログに記載されている高リスクの脆弱性の修正を優先することを強調しています。低リスクの脆弱性は、緊急性の低い対応で対処できます。BOD 26-04はまた、パッチ適用前にシステム侵害を確認する必要がある場合についても概説しています。BOD 26-04はFCEB機関に特有のものですが、CISAはすべての組織に脆弱性管理へのリスクベースのアプローチを採用することを推奨しています。彼らは、KEVカタログの脆弱性の修正を優先することを奨励しています。CISAは、基準を満たす脆弱性をKEVカタログに追加し続けます。組織は、CVE ID、悪用証明、および緩和ガイダンスがある場合、悪用された脆弱性を追加のために推薦することができます。

CISAは、既知の悪用された脆弱性（KEV）カタログに2つの新しい脆弱性を追加しました。これらは、Cisco Catalyst SD-WAN Managerに影響を与えるCVE-2026-20262と、LiteSpeed cPanel Pluginに影響を与えるCVE-2026-54420です。このような脆弱性は、サイバー犯罪者にとって一般的な攻撃手法です。連邦機関は、Binding Operational Directive（BOD）26-04を通じてこれらのリスクに対処することが義務付けられています。この指令は、FCEB機関に対し、公開されている資産に存在し、完全なシステム制御を提供するKEVカタログに記載されている脆弱性のパッチ適用を優先することを要求しています。BOD 26-04は、以前の指令を更新し、KEVカタログの重要性を強化しています。また、パッチ適用前に潜在的な侵害の有無を確認するための機関の期待事項も概説しています。この指令は特にFCEB機関を対象としていますが、CISAはすべての組織に対し、同様のリスクベースの脆弱性管理を採用することを推奨しています。CISAは、新たに特定された悪用された脆弱性でKEVカタログを更新し続けます。組織は、CVE ID、悪用の証拠、および明確な緩和策がある場合、KEVカタログへの追加のために脆弱性を推薦することができます。

CISAは、Oracle PeopleSoftの脆弱性であるCVE-2026-35273を、既知の悪用された脆弱性カタログに追加しました。この脆弱性は、重要な機能に対する認証の欠如を伴い、悪意のある攻撃者にとって一般的な攻撃手法です。これは連邦システムにかなりのリスクをもたらします。BOD 22-01を更新するBinding Operational Directive (BOD) 26-04は、連邦機関の脆弱性管理要件を設定します。この指令は、KEVカタログを強調し、完全な制御につながる公開されている資産上の高リスク脆弱性の迅速なパッチ適用を義務付けています。低リスクの脆弱性は、BOD 26-04に従って後で対処できます。この指令はまた、機関がパッチを適用する前に侵害を確認するための期待事項を概説しています。BOD 26-04は連邦機関に特有のものですが、CISAはすべての組織にリスクベースの脆弱性管理を実装することを推奨しています。KEVカタログの脆弱性を優先することがすべての人に推奨されます。CISAは、適格な脆弱性でKEVカタログを継続的に拡充していきます。組織は、CVE ID、悪用の証拠、および明確な緩和ガイダンスがある場合、脆弱性を検討のために提出できます。

CISAは、Ivanti Sentry OSコマンドインジェクションに関する新しい脆弱性、CVE-2026-10520を既知の悪用された脆弱性（KEV）カタログに追加しました。この脆弱性は積極的に悪用されており、重大な脅威となっています。コマンドインジェクションの脆弱性は、悪意のある攻撃者によって使用される一般的な攻撃手法です。連邦民間執行機関（FCEB）は現在、Binding Operational Directive（BOD）26-04の対象となっています。この指令は、リスクに基づいたセキュリティアップデートの優先順位付けを義務付け、BOD 22-01に優先します。BOD 26-04はKEVカタログを重視し、FCEB機関に対して、特に公開資産上で悪用後に完全な制御を可能にする高リスクの脆弱性を迅速に修正することを要求しています。低リスクの脆弱性は、修正を延期することができます。この指令はまた、パッチ適用前のシステム侵害チェックに関する機関への期待を設定しています。BOD 26-04はFCEB機関向けですが、CISAはすべての組織にリスクベースの脆弱性管理を採用するよう求めています。CISAは、KEVカタログに該当する脆弱性を追加し続けます。組織は、CVE ID、悪用の証拠、および緩和ガイダンスがある場合、脆弱性を追加のために推薦することができます。

CISAは最近、既知の悪用された脆弱性（KEV）カタログに3つの新しい脆弱性を追加しました。これらには、Arista Extensible Operating Systemの脆弱性、Google ChromiumのV8エンジンの脆弱性、およびCisco Catalyst SD-WAN Managerの脆弱性が含まれます。これらの脆弱性が悪意のある攻撃者によって積極的に悪用されていることが証拠によって確認されています。このような脆弱性は、連邦ネットワークにとって一般的かつ重大な脅威となります。KEVカタログは、これらの高リスク脆弱性を追跡するために、Binding Operational Directive（BOD）22-01によって設立されました。この指令は、連邦民間執行機関（FCEB）がこれらの特定された脆弱性を期限内に修正することを義務付けています。BOD 22-01の目標は、FCEBネットワークを現在のサイバー脅威から保護することです。BOD 22-01はFCEB機関に特に関連しますが、CISAはすべての組織に同様の措置を講じることを強く推奨しています。KEVカタログの脆弱性の修正を優先することは、全体的なサイバー攻撃への露出を減らすために不可欠です。CISAは、基準を満たす新しい脆弱性が特定され次第、KEVカタログを更新し続けます。

CISAは、積極的に悪用されている2つの新しい脆弱性を特定し、既知の悪用済み脆弱性（KEV）カタログに追加しました。新たに追加された脆弱性は、BerriAI LiteLLMに影響を与えるCVE-2026-42271と、Check Point Security Gatewayに影響を与えるCVE-2026-50751です。これらの脆弱性は、サイバー犯罪者にとって一般的な攻撃手法であり、連邦ネットワークに重大な脅威をもたらします。Binding Operational Directive 22-01によって設立されたKEVカタログは、連邦企業に重大なリスクをもたらす既知の脆弱性をリストアップしています。この指令は、連邦民間執行機関（FCEB）が、特定されたこれらの脆弱性を特定の締め切りまでに修正することを義務付けています。目標は、現在のサイバー脅威からFCEBネットワークを保護することです。BOD 22-01は特にFCEB機関を対象としていますが、CISAはすべての組織にKEVカタログの脆弱性に対処することを強く推奨しています。それらの修正を優先することは、組織のサイバーセキュリティ体制を強化するために不可欠です。CISAは、確立された基準を満たす新しい脆弱性でKEVカタログを更新し続けます。この継続的な取り組みは、重要なセキュリティ問題に関するタイムリーな情報を提供することを目的としています。

CISAは、既知の悪用された脆弱性（KEV）カタログに新しい脆弱性、CVE-2026-28318を追加しました。SolarWinds Serv-Uにおけるこの脆弱性は、制御不能なリソース消費を伴います。このような積極的に悪用されている脆弱性は、サイバー犯罪者にとって一般的な攻撃ベクトルです。このような脆弱性は、連邦機関に重大なリスクをもたらします。KEVカタログは、これらの重大なリスクに対抗するために、Binding Operational Directive（BOD）22-01によって設立されました。BOD 22-01は、連邦民間執行機関（FCEB）に対し、期限までにこれらの脆弱性を修正することを義務付けています。これは、FCEBネットワークをアクティブなサイバー脅威から保護するためです。BOD 22-01は特にFCEB機関を対象としていますが、CISAはすべての組織に対し、KEVカタログの脆弱性の修正を優先することを推奨しています。この措置は、サイバー攻撃に対する脆弱性を低減するのに役立ちます。CISAは、基準に適合する新しい脆弱性でKEVカタログを更新し続けます。

CISAは、既知の悪用された脆弱性（KEV）カタログに新しい脆弱性、CVE-2026-45247を追加しました。この脆弱性はMirasvit Full Page Cache Warmerに影響し、信頼されていないデータのデシリアライゼーションが原因です。このような脆弱性は、サイバー攻撃者にとって一般的な攻撃ベクトルであり、重大なリスクをもたらします。CISAの運用上の拘束力のある指令（BOD）22-01は、連邦企業に重大な脅威をもたらす脆弱性を強調するためにKEVカタログを作成しました。この指令は、連邦民間執行機関に対し、特定の締め切りまでにこれらの脆弱性を修正することを義務付けています。目標は、FCEBネットワークをアクティブな脅威から保護することです。BOD 22-01は特にFCEB機関を対象としていますが、CISAはすべての組織にKEVカタログの脆弱性に対処することを推奨しています。サイバー攻撃への暴露を減らすためには、修正の優先順位付けが重要です。CISAは、基準を満たす脆弱性でKEVカタログを更新し続けます。この継続的な取り組みは、全体的なサイバーセキュリティ体制を強化することを目的としています。

CISAは、既知の悪用された脆弱性（KEV）カタログに2つの新しい脆弱性を追加しました。今回の追加は、Linuxカーネルの不適切な認証の脆弱性であるCVE-2022-0492と、Androidフレームワークの整数オーバーフローの脆弱性であるCVE-2025-48595です。どちらも悪意のある攻撃者による活発な悪用の証拠が示されています。このような脆弱性は、しばしば攻撃ベクトルとして機能します。これらは連邦ネットワークおよび広範な企業にとって重大なリスクをもたらします。バインディング運用指令（BOD）22-01は、これらの深刻な脅威に対処するためにKEVカタログを確立しました。この指令は、連邦民間執行機関（FCEB）が指定された期日までにこれらの特定された脆弱性を修正することを義務付けています。目標は、FCEBネットワークを継続的なサイバー脅威から保護することです。BOD 22-01はFCEB機関を対象としていますが、CISAはすべての組織にKEVカタログの脆弱性を修正することを強く推奨しています。これらの修正を優先することは、効果的な脆弱性管理と全体的なサイバー攻撃への露出を減らすために不可欠です。CISAは、基準を満たす新しい脆弱性が特定されるにつれて、カタログを更新し続けます。

CISAは、既知の悪用された脆弱性（KEV）カタログに新しい脆弱性、CVE-2024-21182を追加しました。この脆弱性はOracle WebLogic Serverに影響を与え、悪意のある攻撃者によって積極的に悪用されていることが確認されています。このような脆弱性は、連邦システムに重大なリスクをもたらす頻繁な攻撃ベクトルを表しています。CISAのバインディング運用指令（BOD）22-01は、連邦企業にとって重大なリスクを伴う脆弱性を特定するためにKEVカタログを確立しました。この指令は、連邦民間執行機関（FCEB）が指定された期限までにこれらの特定された脆弱性を修正することを義務付けています。BOD 22-01の目標は、進行中のサイバー脅威からFCEBネットワークを保護することです。BOD 22-01は特にFCEB機関に適用されますが、CISAはすべての組織が同様の実践を採用することを強く推奨しています。KEVカタログの脆弱性をタイムリーに修正することを優先することは、全体的なサイバー攻撃への露出を減らすために不可欠です。組織はこれを通常の脆弱性管理プロセスに統合する必要があります。CISAは、確立された基準を満たす新しい脆弱性でKEVカタログを継続的に更新します。

CISAは、既知の悪用された脆弱性（KEV）カタログを更新し、新たな脆弱性を追加しました。新たに追加された脆弱性は、CVE-2026-0257、Palo Alto Networks PAN-OS認証バイパスです。この脆弱性は悪意のある攻撃者によって積極的に悪用されており、重大なリスクをもたらします。KEVカタログは、高リスクと見なされる脆弱性のリストです。KEVカタログは、運用上の指示（BOD）22-01によって作成されました。BOD 22-01は、連邦民間執行機関（FCEB）に対し、KEV脆弱性を速やかに修正するよう指示しています。機関は、ネットワークをアクティブな脅威から保護するために、締め切りを守る必要があります。CISAは、FCEB機関だけでなく、すべての組織にKEVの修正を優先するよう奨励しています。タイムリーな修正は、組織がサイバー攻撃への露出を減らすのに役立ちます。CISAは、基準に適合する新たな脆弱性でカタログを引き続き更新していきます。

CISAは、CI/CDパイプラインと開発者エコシステムに焦点を当て、ソフトウェアサプライチェーンの脆弱性を悪用するサイバー攻撃の増加に対応しています。最近の侵害は、脅威アクターがエンタープライズ、クラウド、DevOps環境内のツールを標的にしていることを示しています。重大なインシデントには、悪意のあるNx Console VS Code拡張機能が含まれ、GitHubリポジトリへのアクセスとデータ漏洩につながりました。侵害された拡張機能（バージョン18.95.0）は自動更新され、Nx Consoleがインストールされている開発者に影響を与えた可能性があります。CISAはCVE-2026-48027を割り当て、侵害されたバージョンをKEVカタログに追加しました。 「Megalodon」キャンペーンは、悪意のあるGitHub Actionワークフローを注入してCI/CDのシークレットと認証情報を盗みました。CISAは、ワークフローアクティビティを監視し、自動化されたアカウントによる疑わしい変更を元に戻すことを推奨しています。組織は、侵害された場合はフォレンジックレビューを実施し、APIキーやクラウド認証情報などのシークレットをローテーションする必要があります。CISAは、パッケージのダウンロードを3時間遅延させ、ソフトウェアを信頼できるバージョンにピン留めすることを提案しています。信頼できるソースからのみパッケージを取得することがセキュリティにとって重要です。これらの侵害に関する詳細情報については、いくつかのリソースが利用可能です。CISAは、この情報を提供することを情報提供のみを目的としており、特定の製品やサービスを推奨するものではありません。

CISAは、既知の悪用された脆弱性（KEV）カタログを更新し、現在積極的に悪用されている3つの新しい脆弱性を追加しました。これらの脆弱性には、Daemon Tools Lite、TanStack、およびNx Consoleの問題が含まれます。これらの脆弱性は悪意のある攻撃者によって悪用される可能性があり、かなりのリスクをもたらします。KEVカタログは、バインディング運用指令（BOD）22-01によって作成された、重大なリスクを表す既知のCVEのリストです。BOD 22-01は、連邦機関に対して、ネットワークを保護するために期日までにKEVに対処することを義務付けています。CISAは、すべての組織がKEV脆弱性のタイムリーな修復を優先することを強く推奨しています。これは効果的な脆弱性管理に不可欠です。このカタログは動的なリソースとして機能し、CISAは必要に応じてさらに追加を行います。更新されたカタログは、サイバー攻撃に対する保護に役立ちます。組織は、リストされた脆弱性を積極的に管理し、修復する必要があります。

CISAは、既知の悪用された脆弱性（KEV）カタログを更新し、新たな脆弱性を追加しました。新たな脆弱性はCVE-2026-48172で、LiteSpeed cPanel Pluginにおける権限昇格の不具合です。この種の脆弱性は攻撃者によって悪用されることが多く、重大なリスクをもたらします。KEVカタログは、Binding Operational Directive 22-01によって定められた、重大なリスクを伴う既知の脆弱性のリストです。BOD 22-01は、連邦民間執行機関に対し、特定された脆弱性を速やかに修正することを義務付けています。この指令は、連邦ネットワークを既存の脅威から保護することを目的としています。提供されているファクトシートは、BOD 22-01に関する詳細情報を提供しています。BOD 22-01は主に連邦機関に適用されますが、他の組織もKEVカタログの使用を強く推奨されています。KEV脆弱性の修正を優先することは、サイバー攻撃への暴露を減らすのに役立ちます。CISAは、必要に応じて継続的に脆弱性をカタログに追加する予定です。

CISAは、Drupal Core SQLインジェクションの脆弱性であるCVE-2026-9082を新たに追加し、既知の悪用された脆弱性（KEV）カタログを更新しました。この脆弱性は、悪意のある攻撃者による活発な悪用の証拠があるため含まれています。SQLインジェクションの脆弱性は一般的に悪用され、システムにかなりのリスクをもたらします。KEVカタログは、Binding Operational Directive（BOD）22-01の下で維持されています。この指令は、連邦民間執行機関（FCEB）に対し、指定された期限までにこれらの脆弱性を修正することを義務付けています。目標は、既存の脅威や脆弱性から連邦ネットワークを保護することです。BOD 22-01のファクトシートには、指令とその実施に関する詳細が記載されています。BOD 22-01はFCEB機関に焦点を当てていますが、CISAはすべての組織がこれらの脆弱性に迅速に対処することを推奨しています。FCEB以外の組織も、安全を維持するためにKEV脆弱性の修正を優先すべきです。CISAは、基準を満たす新しい脆弱性が現れるたびにカタログを定期的に更新します。この積極的なアプローチは、全体的なサイバーセキュリティ体制を改善し、潜在的な損害を最小限に抑えるのに役立ちます。

CISAは、積極的に悪用されている脆弱性のリストである既知の悪用された脆弱性（KEV）カタログを更新しました。確認された積極的な悪用により、CVE-2025-34291およびCVE-2026-34926の2つの新しい脆弱性が追加されました。これらの脆弱性は、カタログ内の他の脆弱性と同様に、攻撃ベクトルとしてよく使用されます。これらは、連邦ネットワークやその他の組織に大きなリスクをもたらします。KEVカタログは、Binding Operational Directive（BOD）22-01によって設立されました。BOD 22-01は、連邦民間執行機関（FCEB）がリストされた脆弱性を是正することを義務付けています。各機関は、脅威から保護するために指定された期日を遵守する必要があります。BOD 22-01はFCEB機関を指示しますが、CISAはすべての組織にKEVの是正を優先することを推奨しています。タイムリーな是正は、適切な脆弱性管理戦略の強力な一部です。CISAは、保護を強化するために新しい脆弱性をカタログに継続的に追加します。

CISAは、現在積極的に悪用されている7つの新たな脆弱性を追加し、既知の悪用済み脆弱性（KEV）カタログを更新しました。これらの新たに追加された脆弱性は、Microsoft Windows、DirectX、Adobe Acrobat、Internet Explorerを含む複数のソフトウェア製品にまたがっています。これらの脆弱性は、バッファオーバーフロー、use-after-free、サービス拒否などの問題を含み、悪意のあるサイバー活動を可能にします。CISAは、これらの脆弱性を、特に連邦組織にとって重大なリスクとして認識しています。Binding Operational Directive（BOD）22-01は、FCEB機関に対し、これらの脆弱性を速やかに修正することを義務付けています。KEVカタログは、既知の脅威に関する情報提供と保護を目的とした動的なリストです。連邦ネットワーク全体で悪用可能な攻撃対象領域を削減するために、修正期限が設定されています。BOD 22-01は主に連邦機関を対象としていますが、CISAはすべての組織にKEVカタログの使用を推奨しています。既知の悪用済み脆弱性の修正を優先することは、効果的なサイバーセキュリティの重要な要素です。CISAは、新たな脆弱性が実際に悪用されるようになるにつれて、カタログを更新し続けます。

CISAは、活発な悪用が確認されたため、新たな脆弱性CVE-2026-42897を既知の悪用された脆弱性（KEV）カタログに追加しました。この脆弱性はMicrosoft Exchange Serverを標的としており、一般的な攻撃手法であるクロスサイトスクリプティングを含んでいます。KEVカタログは、特に連邦機関にとって重大なリスクをもたらす脆弱性を特定します。バインディング運用指令（BOD）22-01は、FCEB機関に対し、定められた期限までにKEV脆弱性を修正することを義務付けています。この指令は、連邦ネットワークを既存の脅威から保護することを目的としています。提供されているファクトシートは、BOD 22-01の実施に関する詳細情報を提供しています。BOD 22-01はFCEB機関に特に関連しますが、CISAはすべての組織に対し、KEVの修正を優先するよう推奨しています。これらの脆弱性にタイムリーに対処することは、サイバー攻撃への露出を減らすために不可欠です。組織は、KEVの修正を全体的な脆弱性管理戦略に統合する必要があります。CISAは、適格な脆弱性をカタログに継続的に追加していきます。

CISAは、既知の悪用されている脆弱性（KEV）カタログに新しい脆弱性、CVE-2026-20182を追加しました。このCisco Catalyst SD-WAN Controller認証バイパス脆弱性は、悪意のある攻撃者によって積極的に悪用されています。この種の脆弱性は、特に連邦機関にとって重大なリスクをもたらします。CISAは、緩和策として、緊急指令26-03および補足指示ED 26-03、ならびにBOD 22-01への準拠を強く求めています。KEVカタログは、高リスクの脆弱性のリストとして機能し、BOD 22-01の重要な構成要素です。連邦機関は、KEVカタログの脆弱性を期日までに修正する必要があります。BOD 22-01は主に連邦機関に影響を与えますが、CISAはすべての組織にKEVカタログの脆弱性修正を優先することを推奨しています。この積極的なアプローチは、サイバー攻撃への露出を減らすのに役立ちます。CISAは、特定の基準を満たす脆弱性でKEVカタログを更新し続ける予定です。

CISAは、積極的に悪用されている脆弱性のリストである既知の悪用脆弱性（KEV）カタログを更新しました。BerriAI LiteLLMに影響を与えるCVE-2026-42208として特定された新しい脆弱性が、活発な悪用のために追加されました。この脆弱性は、一般的な攻撃手法であるSQLインジェクションを具体的に含んでいます。これは連邦企業にとって重大なリスクをもたらします。KEVカタログは、既知の悪用可能な脆弱性に対処するために、運用上の拘束命令（BOD）22-01によって作成されました。BOD 22-01は、連邦機関に対し、ネットワークを保護するためにリストされた脆弱性を修正することを義務付けています。機関は、指定された期限までにこれらの脆弱性に対処する必要があります。BOD 22-01は連邦機関に適用されますが、CISAはすべての組織にKEV修正を優先することを推奨しています。KEV脆弱性の適時な修正は、サイバー攻撃への露出を減らすために不可欠です。CISAは、新しい悪用可能な脆弱性が特定されるにつれて、カタログを更新し続けます。

CISAは、既知の悪用された脆弱性（KEV）カタログを更新し、新たな脆弱性を追加しました。新たに追加された脆弱性はCVE-2026-6973で、Ivanti Endpoint Manager Mobile（EPMM）における不適切な入力検証に関するものです。この脆弱性は悪意のある攻撃者によって積極的に悪用されており、深刻なリスクをもたらしています。KEVカタログは、連邦企業にとって重大な脅威となる既知の脆弱性のリストです。このカタログは、Binding Operational Directive（BOD）22-01の下で設立されました。BOD 22-01は、連邦民間執行機関に対し、特定された脆弱性を速やかに修正することを義務付けています。目標は、FCEBネットワークをアクティブなサイバー脅威から保護することです。CISAは、すべての組織に対し、KEVカタログの脆弱性に対処することを推奨しています。サイバー攻撃への暴露を減らすためには、修正の優先順位付けが不可欠です。CISAは、タイムリーな脆弱性管理の実践の重要性を強調しています。同庁は、新たな脆弱性が発見され次第、カタログを更新し続ける予定です。

CISAは、新たな脆弱性を追加して、既知の悪用された脆弱性（KEV）カタログを更新しました。新たに追加された脆弱性はCVE-2026-0300で、Palo Alto Networks PAN-OSにおける境界外書き込みの脆弱性です。この種の脆弱性は悪意のある攻撃者によって頻繁に悪用されており、連邦企業に重大なリスクをもたらします。KEVカタログは、バインディング運用指令（BOD）22-01によって確立された、重大な脅威をもたらす既知のCVEのリストです。BOD 22-01は、連邦民間執行機関（FCEB）に対し、指定された期日までにKEV脆弱性を是正することを義務付けています。この措置は、FCEBネットワークを継続的なサイバー脅威から保護することを目的としています。BOD 22-01は主にFCEB機関に影響を与えますが、CISAはすべての組織に対し、KEVカタログの脆弱性の是正を優先することを推奨しています。これらの脆弱性にタイムリーに対処することは、サイバー攻撃への露出を減らすために不可欠です。CISAは、必要な基準を満たす脆弱性をKEVカタログに引き続き組み込んでいきます。

CISAは、既知の悪用された脆弱性（KEV）カタログに新しい脆弱性、CVE-2026-31431を追加しました。このLinuxカーネルの脆弱性は、悪意のある攻撃者によって積極的に悪用されています。このような脆弱性は、連邦政府システムに重大なリスクをもたらします。KEVカタログは、Binding Operational Directive (BOD) 22-01によって設立されました。この指令は、連邦民間執行機関（FCEB）が設定された期限までにKEVの脆弱性を修正することを義務付けています。目標は、アクティブなサイバー脅威からFCEBネットワークを保護することです。BOD 22-01は特にFCEB機関を対象としていますが、CISAはすべての組織にこれらの脆弱性に対処することを強く推奨しています。KEVカタログのエントリの修正を優先することは、サイバー攻撃への露出を減らすために不可欠です。このプロアクティブなアプローチは、通常の脆弱性管理に統合されるべきです。CISAは、新たに特定された脆弱性で、確立された基準を満たすものをKEVカタログに追加し続ける予定です。

CISAは、既知の悪用された脆弱性（KEV）カタログに新しい脆弱性、CVE-2026-41940を追加しました。この脆弱性はWebPros cPanel & WHMおよびWP2に影響を与え、具体的には重要な機能に対する認証の欠如です。このような脆弱性は、悪意のある攻撃者によって一般的に悪用され、重大なリスクをもたらします。KEVカタログは、連邦企業に重大なリスクをもたらす脆弱性をリスト化するために、Binding Operational Directive 22-01によって設立されました。この指令は、連邦民間執行機関（FCEB）が設定された期限までにこれらの脆弱性を是正することを義務付けています。目標は、FCEBネットワークをアクティブな脅威から保護することです。BOD 22-01はFCEB機関に特有ですが、CISAはすべての組織がそれに従うことを強く推奨しています。KEVカタログの脆弱性の是正を優先することは、サイバー攻撃への露出を減らすために不可欠です。この実践は、全体的な脆弱性管理に統合されるべきです。CISAは、その基準を満たす脆弱性をカタログに追加し続ける意向です。

CISA（サイバーセキュリティ・インフラストラクチャセキュリティ庁）は、既知の悪用された脆弱性（KEV）カタログに2つの新しい脆弱性を追加しました。これらの脆弱性、CVE-2024-1708（ConnectWise ScreenConnect）とCVE-2026-32202（Microsoft Windows）は、現在積極的に悪用されています。これらのタイプの欠陥は、しばしばサイバー攻撃につながり、特に政府のネットワークに大きなリスクをもたらします。BOD 22-01は、重要な脆弱性を特定し、パッチ適用を義務付けるためにKEVカタログを確立しました。この指令は、連邦政府の文民行政機関に対し、これらの脆弱性を速やかに修正することを義務付けています。修復の期日は、現在の脅威からネットワークを保護するために設定されています。BOD 22-01は連邦政府機関に焦点を当てていますが、CISAはすべての組織に対し、KEVカタログの修復を優先するよう助言しています。この積極的な行動は、サイバー攻撃に対する脆弱性を軽減するのに役立ちます。組織は、KEV修復を確立された脆弱性管理プロセスに統合する必要があります。CISAは、新たな脅威が出現するたびに、カタログの監視と脆弱性の追加を継続します。

CISAは、新たに4つの脆弱性を既知の悪用された脆弱性（KEV）カタログに追加しました。これらは、Samsung MagicINFO 9 ServerとSimpleHelpにおけるパス・トラバーサル脆弱性、SimpleHelpにおける認証漏洩、D-Link DIR-823Xにおけるコマンドインジェクション脆弱性です。これらの脆弱性は、悪意のある攻撃者によって頻繁に悪用され、連邦システムに重大なリスクをもたらします。KEVカタログは、連邦企業に対する重大なサイバーリスクに対処するために、Binding Operational Directive（BOD）22-01によって設立されました。この指令は、連邦民間執行機関（FCEB）に対し、指定された期限までにリストされた脆弱性を修正することを義務付けています。この措置は、FCEBネットワークを継続的なサイバー脅威から保護するために不可欠です。BOD 22-01は主にFCEB機関を対象としていますが、CISAはすべての組織に対し、KEVカタログの修正を優先することを強く推奨しています。これらの脆弱性をタイムリーにパッチ適用することは、効果的な脆弱性管理の実践において重要な要素です。CISAは、定義された基準を満たす新しい脆弱性をカタログに継続的に追加していくことに尽力しています。

CISAは、Marimoリモートコード実行脆弱性CVE-2026-39987を特定し、既知の悪用脆弱性(KEV)カタログに追加しました。この脆弱性は現在、悪意のある攻撃者によって積極的に悪用されています。リモートコード実行の脆弱性は、連邦システムに重大なリスクをもたらす一般的な攻撃手法です。CISAは、高リスク脆弱性を特定するために、拘束力のある運用指令(BOD)22-01を通じてKEVカタログを設立しました。BOD 22-01は、連邦文民行政機関(FCEB)機関がこれらの脆弱性を特定の期限までに修正することを義務付けています。この指令は、FCEBネットワークを継続的なサイバー脅威から保護することを目的としています。BOD 22-01はFCEB機関のみに適用されますが、CISAはすべての組織がこれらの脆弱性に対処することを強く推奨しています。カタログ化された脆弱性の是正を優先することは、効果的な脆弱性管理のために不可欠です。CISAは基準を満たす新たな脆弱性をKEVカタログに更新し続けます。この継続的な取り組みは、組織が重大なサイバーリスクを軽減するのに役立ちます。

CISA（サイバーセキュリティ・インフラストラクチャセキュリティ庁）は、既知の悪用された脆弱性（KEV）カタログを更新し、新たな脆弱性を追加しました。今回リストに追加された脆弱性は、Microsoft Defenderに影響を与えるCVE-2026-33825です。これは、悪意のある行為者によってよく利用される攻撃ベクトルである、不十分なアクセス制御に関連しています。この脆弱性は、特に連邦政府機関にとって、かなりのリスクをもたらします。KEVカタログは、Binding Operational Directive（BOD）22-01で定義されているように、重大なリスクを伴う既知の脆弱性の動的なリストです。BOD 22-01は、連邦民間行政機関（FCEB）が、定められた期限までにKEV脆弱性を修復することを義務付けています。修復は、BOD 22-01ファクトシートに概説されているように、FCEBネットワークを活発なサイバー脅威から保護します。この指令は主にFCEB機関を対象としていますが、CISAはすべての組織に対し、KEV脆弱性への対応を速やかに実施することを推奨しています。修復を優先することで、組織はサイバー攻撃に対する脆弱性を軽減することができます。CISAは、その基準を満たす脆弱性でカタログを継続的に拡大する予定です。

CISA（サイバーセキュリティ・インフラストラクチャセキュリティ庁）は、活発な悪用が確認されたため、既知の悪用済み脆弱性（KEV）カタログに8つの新たな脆弱性を追加しました。これらには、PaperCut NG/MF、JetBrains TeamCity、Kentico Xperience、Quest KACE SMA、Synacor Zimbra、およびCisco Catalyst SD-WAN Managerの脆弱性が含まれます。これらのタイプの脆弱性は一般的な攻撃経路であり、重大なリスクをもたらします。KEVカタログは、連邦政府機関に大きなリスクをもたらす脆弱性を特定するために、拘束的運用指令（BOD）22-01によって設立されました。BOD 22-01は、連邦文民行政機関（FCEB）が、指定された期限までにこれらの脆弱性を修正することを義務付けています。この措置は、FCEBネットワークを活発なサイバー脅威から保護することを目的としています。BOD 22-01は特にFCEB機関を対象としていますが、CISAはすべての組織に対し、KEVカタログの脆弱性に対して速やかに対応することを強く推奨します。サイバー攻撃への露出を減らすためには、修復を優先することが重要です。CISAは、確立された基準を満たす新たな脆弱性について、KEVカタログを継続的に更新していきます。

CISAはAxiosのnpmパッケージに影響を与えるソフトウェアサプライチェーンの侵害に関する警報を発令しました。悪意のあるAxiosのバージョン、特に[email protected]および[email protected]は、[email protected]という依存関係を注入しました。この悪意ある依存関係は、アクター制御インフラからリモートアクセストロイの木馬を含む多段階のペイロードをダウンロードします。組織は、侵害されたAxiosバージョンのコードリポジトリ、CI/CDパイプライン、開発者マシンを監視しなければなりません。また、キャッシュされた悪意のある依存関係がないかアーティファクトリポジトリをチェックし、既知のセーフリリースにパッケージバージョンをピン留めする必要があります。依存関係が侵害された場合は、環境を安全な状態に戻し、露出の可能性がある認証情報をローテーションさせる必要があります。NPM運用中の予期せぬ子プロセスや異常なネットワーク挙動の監視は極めて重要です。Sfrclakへの発信接続を遮断[.]また、com Domainsも推奨されます。CISAはさらに、開発者アカウントに対してフィッシング耐性のMFAを実装し、NPMを設定しスクリプトを無視し、パッケージの最低リリース年数を強制することを推奨しています。通常の実行基準を設定し、異常な依存行動に警告することで、将来の侵害を検出し防止できます。

CISAは、既知の悪用された脆弱性（KEV）カタログに、Apache ActiveMQに影響を与える新しい脆弱性CVE-2026-34197を特定しました。この脆弱性は、不適切な入力検証が原因です。証拠によると、この脆弱性は悪意のある攻撃者によって積極的に悪用されています。このような脆弱性は一般的な攻撃手法であり、連邦システムに重大なリスクをもたらします。バインディング運用指令22-01は、連邦民間執行機関（FCEB）に対し、これらのKEVカタログの脆弱性に対処することを義務付けています。KEVカタログは、連邦企業に重大なリスクをもたらす脆弱性の動的なリストです。FCEB機関は、ネットワークセキュリティを強化するために、期日までにリストされた脆弱性を修正する必要があります。この指令は特にFCEB機関を対象としていますが、CISAはすべての組織がこの慣行を採用することを強く推奨しています。KEVカタログの脆弱性の修正を優先することは、サイバー攻撃への暴露を軽減するために不可欠です。CISAは、確立された基準を満たす新しい脆弱性でKEVカタログを更新し続けます。

CISAは、積極的に悪用されている脆弱性のリストである既知の悪用脆弱性（KEV）カタログを更新しました。確認された悪用により、2つの新しい脆弱性がカタログに追加されました。最初の脆弱性であるCVE-2009-0238は、Microsoft Officeに影響を与え、リモートコード実行を伴います。2番目の脆弱性であるCVE-2026-32201は、Microsoft SharePoint Serverに影響を与え、不適切な入力検証に関するものです。これらの脆弱性は、悪意のある攻撃者にとって魅力的な標的であり、主に連邦ネットワークに重大なリスクをもたらします。KEVカタログは、これらのリスクに対処するために運用上の指示（BOD）22-01によって作成されました。BOD 22-01は、連邦民間執行機関にこれらの脆弱性を速やかに是正することを義務付けています。各機関は、アクティブな脅威からネットワークを保護するために、指定された期限を守る必要があります。CISAは、BOD 22-01の対象ではない組織であっても、すべての組織にKEVの是正を優先することを推奨しています。タイムリーな是正は、あらゆる組織の脆弱性管理プログラムにおけるサイバー攻撃のリスクを軽減するのに役立ちます。CISAは、必要な基準を満たす追加の脆弱性でKEVカタログを定期的に更新します。

CISAは、新たに特定された7つのセキュリティ脆弱性を既知の悪用された脆弱性（KEV）カタログに追加しました。これらの脆弱性は、Microsoft Windows、Adobe Acrobat、Microsoft Exchange Server、Fortinetなどの製品に影響を与え、悪意のある攻撃者によって積極的に悪用されています。この追加は、これらの脆弱性が頻繁な攻撃ベクトルであることを示す証拠に基づいています。BOD 22-01は、連邦民間執行機関（FCEB）に対し、KEVカタログに記載された脆弱性を指定された期限までに修正することを義務付けています。この指令は、FCEBネットワークを既存のサイバー脅威から保護するのに役立ちます。KEVカタログは、重大なリスクをもたらすCVEの動的なリストとして機能します。BOD 22-01はFCEB機関には拘束力がありますが、CISAはすべての組織に対し、これらの脆弱性の修正を優先することを推奨しています。KEVカタログの脆弱性を適時に修正することは、効果的な脆弱性管理のために不可欠です。CISAは、確立された基準を満たす新しい脆弱性をカタログに追加し続ける予定です。

CISA（サイバーセキュリティ・インフラストラクチャセキュリティ庁）は、既知の悪用された脆弱性（KEV）カタログを更新し、新たな脆弱性を追加しました。新たに追加されたのは、Ivanti Endpoint Manager Mobile（EPMM）のコードインジェクションの欠陥であるCVE-2026-1340です。この脆弱性は悪意のある攻撃者によって活発に悪用されており、重大な脅威となっています。KEVカタログは、拘束力のある運用指令（BOD）22-01によって定義された、重大なリスクをもたらす脆弱性のリストです。BOD 22-01は、連邦政府機関に対し、カタログに掲載された脆弱性を設定された期限までに修正することを義務付けています。この指令は、連邦政府のネットワークを活発なサイバー脅威から保護することを目的としています。これらの既知の脆弱性の潜在的な悪用を最小限に抑えるためには、修正作業が不可欠です。BOD 22-01は連邦政府機関にのみ適用されますが、他の組織もこの慣行を採用することを強く推奨します。KEVカタログの脆弱性のタイムリーな修正は、全体的なサイバーセキュリティにとって不可欠です。CISAは、新たに発見された重要な脆弱性をKEVカタログに追加し続けます。

CISA（サイバーセキュリティ・インフラストラクチャセキュリティ庁）は、既知の悪用された脆弱性（KEV）カタログを更新し、新たな脆弱性を追加しました。今回の追加は、実際に確認された悪意のある活動に基づき、現在悪用されているリスクを浮き彫りにしています。新たに追加されたのは、Fortinet FortiClient EMS のアクセス制御の脆弱性である CVE-2026-35616 です。この種の脆弱性は、サイバー攻撃者によって頻繁に標的とされ、大きな脅威となります。KEVカタログは、拘束的運用指令（BOD）22-01 に関連する重要な要素です。BOD 22-01 は、連邦政府機関が特定された脆弱性に対して速やかに対応することを義務付けています。この指令は、定められた期限までに、連邦政府のネットワークを現行の脅威から保護することを目的としています。KEVカタログは、継続的に更新されるリストであり、生きた文書です。連邦政府機関に適用されるものですが、CISA はすべての組織がこれらのベストプラクティスに従うことを推奨しています。KEV脆弱性のタイムリーな修復は、全体的なサイバーセキュリティにとって不可欠です。CISA は、特定の基準を満たす脆弱性について、KEVカタログを今後も拡充していく予定です。修復を優先する組織は、サイバー攻撃への露出を大幅に減らすことができます。

CISA（サイバーセキュリティ・インフラストラクチャセキュリティ庁）は、既知の悪用された脆弱性（KEV）カタログを新しい脆弱性で更新しました。新たに追加された脆弱性は、TrueConf Clientの問題であるCVE-2026-3502です。この脆弱性は、整合性チェックなしでのコードのダウンロードに関与しています。このような脆弱性は、サイバー攻撃において悪意のある行為者によって一般的に悪用されます。この脆弱性は連邦政府機関に重大なリスクをもたらし、直ちに対処する必要があります。KEVカタログは、Binding Operational Directive（BOD）22-01の成果物です。BOD 22-01は、連邦政府に高いリスクをもたらす既知の脆弱性を対象としています。連邦政府機関は、指令によって設定された期日までに脆弱性を修正する必要があります。BOD 22-01は主に連邦政府の文民行政機関に影響を与えますが、CISAはすべての組織に行動を推奨しています。KEVカタログの脆弱性のタイムリーな修正は、サイバーセキュリティにとって不可欠です。CISAは、今後もカタログをより多くの脆弱性で更新していきます。

CISA は最近、既知の悪用された脆弱性 (KEV) カタログに新しい脆弱性を追加しました。この追加された CVE-2026-5281 は、Google Dawn の Use-After-Free 脆弱性です。活発な悪用の証拠が、この脆弱性がカタログに含まれるきっかけとなりました。このような脆弱性は、サイバー攻撃者によって一般的に悪用されます。これらは、連邦政府機関全体にかなりのリスクをもたらします。KEV カタログは、拘束力のある運用指令 (BOD) 22-01 によって確立されました。この指令は、既知の悪用された脆弱性による重大なリスクを軽減することを目的としています。連邦政府民間執行機関 (FCEB) は、BOD 22-01 によって、これらの脆弱性を期日までに修正することが義務付けられています。これにより、FCEB ネットワークをアクティブな脅威から保護します。CISA はまた、連邦政府との提携の有無にかかわらず、すべての組織に対し、KEV カタログの修正を優先するよう強く推奨しています。そうすることで、サイバー攻撃への露出を大幅に減らすことができます。CISA は、特定の基準を満たす脆弱性でカタログを継続的に更新しています。

CISA（サイバーセキュリティ・インフラストラクチャセキュリティ庁）は、既知の悪用された脆弱性（KEV）カタログを更新し、新たな脆弱性を追加しました。この新たなエントリは、Citrix NetScaler の境界外読み取りの脆弱性である CVE-2026-3055 です。この脆弱性は、悪意のある攻撃者によって積極的に悪用されていることが知られています。これらの種類の脆弱性は一般的な攻撃経路であり、深刻なリスクをもたらします。KEVカタログは、拘束力のある運用指令（BOD）22-01の成果物です。BOD 22-01は、連邦政府の行政機関（FCEB）に対し、特定の期限までに脆弱性を修正することを義務付けています。これは、FCEBネットワークをアクティブな脅威から保護することを目的としています。BOD 22-01ファクトシートには、指令の要件に関する詳細が記載されています。BOD 22-01の要件は連邦政府機関に特有のものですが、CISAはすべての組織に対し、カタログの脆弱性に迅速に対処することを推奨しています。そうすることで、サイバー攻撃に対する脆弱性を低減し、効果的な脆弱性管理に沿ったものとなります。CISAは、関連する脆弱性でKEVカタログを継続的に拡張することに尽力しています。

CISA（サイバーセキュリティ・インフラストラクチャセキュリティ庁）は、既知の悪用された脆弱性（KEV）カタログを更新し、新たな脆弱性を追加しました。新たに追加された脆弱性は、F5 BIG-IPの遠隔コード実行の欠陥であるCVE-2025-53521です。この脆弱性は悪意のある行為者によって積極的に悪用されており、深刻なリスクをもたらしています。KEVカタログは、Binding Operational Directive（BOD）22-01で定義されているように、重大なリスクを伴う既知の脆弱性のリストです。BOD 22-01は、連邦政府の文民行政機関に対し、これらの脆弱性を速やかに修復することを義務付けています。その目的は、連邦政府のネットワークを活発なサイバー脅威から保護することです。各機関は、指定された期日までに脆弱性を修復しなければなりません。BOD 22-01は主に連邦政府機関を対象としていますが、CISAはすべての組織に対し、KEV脆弱性からのリスクを軽減することを推奨しています。KEV脆弱性のタイムリーな修復は、効果的な脆弱性管理にとって不可欠です。CISAは、必要に応じてKEVカタログにさらに多くの脆弱性を追加することに尽力しています。

CISAは、Aqua Security Trivyの新しいエントリであるCVE-2026-33634で、既知の悪用された脆弱性（KEV）カタログを更新しました。この脆弱性は、埋め込まれた悪意のあるコードを含んでおり、重大なリスクをもたらします。これらの種類の脆弱性は、悪意のある攻撃者によって頻繁に悪用されています。KEVカタログは、Binding Operational Directive 22-01によって確立された、高リスクの既知の脆弱性のリストです。BOD 22-01は、連邦民間執行機関（FCEB）に対し、これらの脆弱性を修正することを義務付けています。各機関は、ネットワークをアクティブな脅威から保護するために、定められた期限までにこれらの問題を修正する必要があります。この指令は、既知のアクティブな脅威を軽減することにより、FCEBネットワークを保護することを目的としています。主にFCEBを対象としていますが、CISAはすべての組織にKEV脆弱性に対処することを推奨しています。KEV脆弱性を適時に修正することは、サイバー攻撃への露出を減らすために不可欠です。CISAは、基準を満たす新しい脆弱性でカタログを継続的に更新します。

CISA（サイバーセキュリティ・インフラストラクチャセキュリティ庁）は、新たな脆弱性であるCVE-2026-33017を、既知の悪用された脆弱性（KEV）カタログに追加しました。この脆弱性は、Langflowのコードインジェクションに関連しています。このような脆弱性は、サイバー犯罪者によって頻繁に悪用され、連邦政府のシステムに深刻なリスクをもたらします。KEVカタログは、重要なリスクを伴う脆弱性を特定するために、拘束的運用指示（BOD）22-01に基づいて作成されました。BOD 22-01は、連邦政府文民行政機関（FCEB）が、特定されたこれらの脆弱性を期限内に修正することを義務付けています。この指示は、FCEBネットワークをアクティブな脅威から保護することを目的としています。BOD 22-01は特にFCEB機関を対象としていますが、CISAはすべての組織がこれらのKEVカタログの脆弱性に対処することを強く推奨します。これらの脆弱性の修復を優先することは、効果的な脆弱性管理にとって不可欠です。そうすることで、組織はサイバー攻撃に対する脆弱性を大幅に減らすことができます。CISAは、適格な脆弱性でカタログを更新し続けます。

CISA（サイバーセキュリティ・インフラストラクチャセキュリティ庁）は、現在積極的に悪用されている5つの新たな脆弱性を「既知の悪用された脆弱性（KEV）カタログ」に追加しました。これらの脆弱性には、Apple製品、Craft CMS、Laravel Livewireに影響を与える問題が含まれています。これらのタイプの脆弱性は、悪意のある行為者にとって一般的な攻撃経路であり、重大なリスクをもたらします。KEVカタログは、Binding Operational Directive（BOD）22-01に従い、重大なリスクをもたらす既知のCVE（共通脆弱性識別子）のリストです。この指令は、連邦政府機関に対し、特定された脆弱性を特定の期限までに修復することを義務付けています。その目的は、これらの脆弱性に対処することにより、連邦ネットワークをアクティブな脅威から保護することです。BOD 22-01は主に連邦政府の行政機関に影響を与えます。CISAは、すべての組織に対し、サイバー攻撃への露出を減らすために、KEVカタログの脆弱性を速やかに修復することを推奨しています。これらの修復を優先することは、効果的な脆弱性管理戦略の重要な部分です。CISAは、必要な基準を満たす新たな脆弱性について、カタログを継続的に更新していきます。

CISA（サイバーセキュリティ・インフラストラクチャセキュリティ庁）は、既知の悪用された脆弱性（KEV）カタログを更新し、新たな脆弱性を含めました。CVE-2026-20131と特定されたこの脆弱性は、Cisco Secure Firewall Management Center (FMC) および Cisco Security Cloud Control (SCC) ソフトウェアに影響を与えます。この特定の脆弱性は、悪意のあるアクターがよく使用する攻撃手法である、信頼できないデータのデシリアライゼーションに関与しています。これは、連邦政府機関やその他の組織にとって大きなリスクをもたらします。KEVカタログは、拘束的運用指令（BOD）22-01で概説されているように、高いリスクを持つ既知の脆弱性のリストです。BOD 22-01は、連邦政府機関に対し、ネットワーク保護のために、指定された期限内にKEV脆弱性に対処することを義務付けています。この指令は主に連邦政府の文民行政機関を対象としています。BOD 22-01は連邦政府機関向けですが、CISAはすべての組織に対し、より良いサイバーセキュリティのためにKEVの修復を優先するよう助言しています。これらの脆弱性のタイムリーなパッチ適用は、サイバー攻撃への露出を減らすために不可欠です。CISAは、KEVカタログを定期的に更新し、より多くの脆弱性を追加する予定です。

CISA（サイバーセキュリティ・インフラストラクチャセキュリティ庁）は、既知の悪用された脆弱性（KEV）カタログを更新し、新たな脆弱性を追加しました。新たに追加された脆弱性は、Synacor Zimbra Collaboration Suite (ZCS) に影響を与えるクロスサイトスクリプティングの欠陥であるCVE-2025-66376です。この脆弱性は、攻撃者によって積極的に悪用されています。クロスサイトスクリプティングの脆弱性は一般的な攻撃ベクトルであり、大きなリスクをもたらします。CISAのKEVカタログは、拘束的運用指令（BOD）22-01によって確立され、高リスクで悪用されたCVEを特定します。BOD 22-01は、連邦政府の文民行政機関（FCEB）に対し、これらの脆弱性を特定の期限までに修正することを義務付けています。この指令は、FCEBネットワークをアクティブな脅威から保護することを目的としています。ファクトシートでは、BOD 22-01の実装に関する詳細が提供されています。BOD 22-01は政府機関にのみ適用されますが、すべての組織はKEVカタログの脆弱性を迅速に修正することが推奨されます。これらの修正を優先することは、効果的な脆弱性管理戦略の重要な部分です。CISAは、新たに発見された脆弱性について、KEVカタログを定期的に更新し続けます。

CISAは、米国の組織のエンドポイント管理システムを標的とした悪意のあるサイバー活動を特定しました。この活動は、医療技術企業であるStryker Corporationに対する2026年3月のサイバー攻撃に続いています。同様の攻撃に対抗するため、CISAは組織に対し、エンドポイント管理システムの構成を強化することを推奨しています。CISAはFBIと協力して、進行中の脅威を特定し、軽減に取り組んでいます。組織は、Microsoftが最近公開したMicrosoft Intuneのセキュリティ保護に関するベストプラクティスを実装する必要があります。これらのプラクティスは、これらのシステム内の管理者ロールに対する最小権限の原則を強調しています。Microsoft Intuneのロールベースアクセス制御（RBAC）を使用して、運用上のアクションを制限してください。フィッシング耐性のある多要素認証（MFA）と特権アクセスの衛生管理を強制してください。詳細なガイダンスについては、提供されているMicrosoftおよびCISAのリソースを確認してください。CISAは、これらの推奨事項が情報提供のみを目的としていることを強調しています。同庁は、このアラートで言及されている特定の商用製品またはサービスを推奨するものではありません。

CISA（サイバーセキュリティ・インフラストラクチャセキュリティ庁）は、既知の悪用された脆弱性（KEV）カタログを更新し、新たな脆弱性を追加しました。今回追加されたのは、CVE-2025-47813で、Wing FTP Serverにおける情報漏洩の脆弱性です。この脆弱性が追加されたのは、悪意のあるアクターによる活発な悪用が確認されたためです。これらのタイプの脆弱性は、一般的な標的となり、様々なネットワークに大きなリスクをもたらします。KEVカタログは、重大なリスクを伴う既知の脆弱性の動的なリストです。運用指令22-01は、FCEB（連邦民間行政機関）がこれらの脆弱性を速やかに修復することを義務付けています。この期限は、連邦ネットワークにおける現在の脅威からの保護を確実にするものです。CISAは、すべての組織がKEVカタログの脆弱性修復を優先することを推奨します。タイムリーな対応は、効果的な脆弱性管理とサイバー攻撃への露出を減らすために不可欠です。CISAは、適格な脆弱性について、今後もカタログを更新していきます。

CISA（サイバーセキュリティ・インフラストラクチャセキュリティ庁）は、現在悪用されているセキュリティ上の欠陥のリストである「既知の悪用された脆弱性（KEV）カタログ」を更新しました。実際に悪用されていることが確認されたため、新たに2つの脆弱性がカタログに追加されました。1つ目は、Google Skiaにおけるアウトオブバウンズ書き込みの脆弱性であるCVE-2026-3909です。2つ目は、Google Chromium V8内の特定されていない脆弱性であるCVE-2026-3910です。これらのタイプの脆弱性は、悪意のある行為者によって標的にされる、リスクの高い攻撃ベクトルです。KEVカタログは、連邦ネットワークを保護するために、拘束的運用指令22-01によって作成されました。この指令は、連邦文民行政機関（FCEB）が、指定された期限までにカタログに掲載された脆弱性を修復することを義務付けています。この指令は、既知の悪用によるリスクを軽減することを目的としています。BOD 22-01は主にFCEB機関に影響を与えますが、CISAはすべての組織に対し、KEVカタログの修復を優先することを推奨しています。この積極的なアプローチは、より良い脆弱性管理の実践をサポートします。CISAは、定義された基準を満たす新しい脆弱性でカタログを定期的に更新します。

CISA（サイバーセキュリティ・インフラストラクチャセキュリティ庁）は、既知の悪用された脆弱性（KEV）カタログを更新し、新たな脆弱性を追加しました。この新しいエントリは、n8nにおける動的に管理されるコードの不適切な制御に関連するCVE-2025-68613です。この脆弱性は、悪意のあるアクターによって積極的に悪用されており、重大なリスクをもたらしています。KEVカタログは、Binding Operational Directive（BOD）22-01によって確立された、高リスクの脆弱性のリストです。BOD 22-01は、連邦政府文民行政機関（FCEB）が、これらの脆弱性を特定の期限までに修復することを義務付けています。この指令は、既知の脆弱性に対処することにより、FCEBネットワークをアクティブな脅威から保護することを目的としています。BOD 22-01は主にFCEB機関に影響を与えますが、CISAはすべての組織に対し、KEVの修復を優先するよう助言しています。KEVカタログの脆弱性のタイムリーな修復は、サイバー攻撃への露出を減らすために不可欠です。CISAは、特定の基準を満たす脆弱性でカタログを継続的に更新しています。KEVカタログは、危険な脆弱性を特定し、軽減するための動的なリソースです。組織は、KEVの修復を、全体的な脆弱性管理戦略に組み込むべきです。

CISA（サイバーセキュリティ・インフラストラクチャセキュリティ庁）は、既知の悪用された脆弱性（KEV）カタログを更新し、新たに3つの脆弱性を追加しました。これらの新たに追加された脆弱性には、Omnissa、SolarWinds、およびIvanti製品の問題が含まれています。これらの脆弱性は悪意のある攻撃者によって積極的に悪用されており、重大なリスクをもたらしています。KEVカタログは、既知の脅威から保護するために維持されている生きたリストです。拘束力のある運用指令（BOD）22-01は、FCEB（連邦政府の民生部門）機関に対し、これらの脆弱性を修正することを義務付けています。機関は、リスクを軽減するために、修正のための特定の期限を守らなければなりません。この指令は、連邦政府のネットワークを活発なサイバー攻撃から保護することを目的としています。BOD 22-01は連邦政府機関に適用されますが、CISAはすべての組織に対し、KEVカタログの修正を優先することを推奨しています。これらの脆弱性にタイムリーに対処することは、堅牢なサイバーセキュリティ対策にとって非常に重要です。CISAは、新たな脅威が出現するたびに、カタログに脆弱性を追加し続けます。

マイクロソフトは、Windows Server Update Service (WSUS) の重大なリモートコード実行の脆弱性 (CVE-2025-59287) に対応するセキュリティアップデートをリリースしました。この脆弱性は、2012、2016、2019、2022、2025を含む複数のWindows Serverバージョンに影響します。最初のアップデートではリスクが完全に軽減されなかったため、今回の新しいリリースとなりました。CISAは、この脆弱性に対する即時対応を強く推奨します。組織はまず、WSUSサーバーロールが有効で、ポート8530/8531が開いている脆弱なサーバーを特定する必要があります。次に、2025年10月23日にリリースされたアウトオブバンドセキュリティアップデートを適用し、WSUSサーバーを再起動する必要があります。直ちにパッチを適用できない場合は、WSUSサーバーロールを無効にするか、指定されたポートへのインバウンドトラフィックをブロックしてください。アップデートをインストールした後、残りのWindowsサーバーにも適用してください。CISAは、CVE-2025-59287を既知の悪用された脆弱性カタログに追加しました。インシデントまたは不審な活動については、CISAの24時間365日対応のオペレーションセンターに報告してください。