2025/10/24 SecurityAffairs — 米国の Cybersecurity and Infrastructure Security Agency (CISA) は、Microsoft WSUS/Adobe Commerce/Magento Open Source の脆弱性を Known Exploited Vulnerabilities (KEV) カタログに追加した。カタログに追加された脆弱性のリストは以下の通りである:
- CVE-2025-54236:Adobe Commerce/Magento の不適切な入力検証
- CVE-2025-59287:Microsoft WSUS の信頼されていないデータのデシリアライズ
Adobe の脆弱性 CVE-2025-54236 (CVSS 9.1) は、入力検証の不備によるものである。今週に EC セキュリティ企業 Sansec が警告したのは、この深刻な脆弱性を悪用する脅威アクターたちが、REST API 経由で顧客アカウントを乗っ取ろうとしていることだ。なお、24 時間の間に 250 件以上の攻撃が複数の店舗を襲ったことを、専門家たちは確認している。
先月、Adobe は研究者 Blaklis による責任ある開示を受け、SessionReaper と命名されたこの脆弱性を修正する緊急パッチをリリースした。この脆弱性を悪用する攻撃者は、顧客アカウントを乗っ取る可能性があるという。Sansec がブロックした 250 件以上の SessionReaper 攻撃は、複数の IP アドレスから PHP Web シェルや phpinfo プローブを配信するペイロードにより、EC サイトを狙うものだった。
その一方で、セキュリティ研究者たちが警告するのは、パッチを適用した店舗がわずか 38% に留まっている点だ。すでにエクスプロイトの詳細が公開されているため、状況は深刻だと付け加えている。
カタログに追加された 2 つ目の脆弱性 CVE-2025-59287 (CVSS:9.8) は、Windows Server Update Service における信頼されていないデータのデシリアライズ問題である。この脆弱性を悪用する権限のない攻撃者は、ネットワーク経由で任意のコードを実行する可能性を得る。
拘束的運用指令 (BOD) 22-01:既知の脆弱性による深刻なリスクを軽減するために、FCEB 機関はカタログ内の脆弱性を悪用する攻撃から、組織内のネットワークを保護する必要がある。CISA は連邦機関に対し、2025年11月14日までに脆弱性を修正するよう命じている。
専門家たちは民間組織に対しても、カタログを確認して、自組織のインフラにおける脆弱性に対処することを推奨している。
Adobe Commerce/Magento の入力検証不足と、Microsoft WSUS における信頼されていないデータのデシリアライズの脆弱性が、CISA の KEV に登録されました。Adobe の問題は、REST API が不正な入力をそのまま処理してしまうことで、攻撃者が顧客アカウントを乗っ取れる点にあります。入力値の検証を十分に行わないと、悪意あるコードやデータを受け入れてしまう仕組み上の欠陥が生じます。また、WSUS の脆弱性では、安全でないデータを処理してしまうことで、攻撃者が任意のコードを実行できる危険があります。いずれも内部処理の信頼設計に問題があるケースでした。よろしければ、CVE-2025-54236 で検索と、CVE-2025-59287 で検索を、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.