2925/04/29 SecurityAffairs — 米国の Cybersecurity and Infrastructure Security Agency (CISA) は、Qualitia Active! Mail/Broadcom Brocade Fabric OS/Commvault Web Server の脆弱性を Known Exploited Vulnerabilities (KEV) カタログに追加した。
- Broadcom Brocade Fabric OS:CVE-2025-1976
- Qualitia Active! Mail:CVE-2025-42599
- Commvault Web Server:CVE-2025-3928
これらの脆弱性の概要は、以下のとおりである:
CVE-2025-1976:Broadcom Brocade Fabric OS のコード・インジェクション脆弱性:Brocade Fabric OS の バージョン 9.1.0〜9.1.1d6 において、この脆弱性を悪用する、管理者権限を持つローカル・ユーザーは、完全なルート権限で任意のコード実行の可能性を手にする。この脆弱性の悪用により、意図されたセキュリティ制限が回避され、システムの完全な制御が奪われてしまう。なお、直接的なルート・アクセスは公式に削除されている。
CVE-2025-42599:Qualitia Active! Mail の、スタックバッファ・オーバーフローの脆弱性:この脆弱性は、Active! Mail 6 BuildInfo: 6.60.05008561 以下に影響を及ぼす。未認証のリモートの攻撃者により作成/送信された、細工されたリクエストを受信すると、任意のコード実行やサービス拒否 (DoS) が引き起こされる可能性が生じる。
CVE-2025-3928:Commvault Web Server の CWE 未指定の脆弱性:Commvault Web Server には、認証済のリモートの攻撃者に悪用を許す可能性のある、CWE 未指定の脆弱性が存在する。Commvault のアドバイザリには、「攻撃者が作成/実行する Webshell により、標的とされる Web サーバに侵害の可能性が生じる」と記されている。この脆弱性は、Windows/Linux プラットフォームのバージョン 11.36.46/11.32.89/11.28.141/11.20.217 で修正されている。
拘束力のある運用指令 (BOD) 22-01 “既知の脆弱性による深刻なリスクの軽減” によると、カタログに掲載された欠陥を悪用する攻撃から、ネットワークを保護するために、指定された期限までに、FCEB 機関は対処する必要がある。
CISA は連邦政府機関に対して、脆弱性 CVE-2025-1976/CVE-2025-42599 を、2025年5月19日までに修正するよう命じている。また、脆弱性 CVE-2025-3928 二関しては、5月17日が期限とされている。
専門家たちが、民間組織にも推奨するのは、このカタログを確認し、自社のインフラにおける脆弱性に対処することだ。
Active! Mail/Brocade Fabric OS/Commvault Web Server の脆弱性が、CISA KEV に登録されました。ご利用のチームは、十分にご注意ください。なお、CVE-2025-1976/CVE-2025-42599 に関する第一報は、2025/04/22 の「Brocade Fabric OS の脆弱性 CVE-2025-1976 が FIX」と、2025/04/21 の「Active! mail の脆弱性 CVE-2025-42599 が FIX」です。よろしければ、CISA KEV ページと併せて、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.