CISA KEV 警告 26/01/22:Prettier/Vite Vitejs/Versa SD-WAN/Zimbra の脆弱性を KEV に登録

U.S. CISA adds Prettier , Vite Vitejs, Versa Concerto SD-WAN, and Synacor Zimbra flaws to its Known Exploited Vulnerabilities catalog

2026/01/23 SecurityAffairs — 米国 Cybersecurity and Infrastructure Security Agency (CISA) は、Prettier eslint-config-prettier/Vite Vitejs/Versa Concerto SD-WAN オーケストレーション・プラットフォーム/Synacor Zimbra Collaboration Suite に関する脆弱性を、Known Exploited Vulnerabilities (KEV) カタログに追加した。

以下は、今回カタログに追加された脆弱性である。

  • CVE-2025-31125 (CVSS:5.3):Vite (Vitejs) における不適切なアクセス制御脆弱性
  • CVE-2025-34026 (CVSS:9.2):Versa Concerto における不適切な認証脆弱性
  • CVE-2025-54313 (CVSS:7.5):Prettier eslint-config-prettier における悪意あるコード埋め込み脆弱性
  • CVE-2025-68645 (CVSS:8.8):Synacor Zimbra Collaboration Suite (ZCS) における PHP リモート・ファイル・インクルージョン脆弱性

脆弱性 CVE-2025-31125 は、JavaScript フロントエンド・フレームワーク Vite に存在する。それにより、”?inline&import” または “?raw?import” パラメータを通じて、許可されていないファイルの内容が露出する可能性がある。この問題により、”–host” または “server.host” を使用して、Vite の開発用サーバをネットワークに公開しているアプリケーションに影響が生じる。そのための修正は、バージョン 6.2.4/6.1.3/6.0.13/5.4.16/4.5.11 で提供されている。

脆弱性 CVE-2025-34026 は、Traefik リバース・プロキシのミスコンフィグに起因する Versa Concerto SD-WAN における認証バイパスである。この脆弱性を悪用する攻撃者が、管理用エンドポイント、ヒープ・ダンプ、トレース・ログへアクセスできる。この脆弱性は、バージョン 12.1.2 から 12.2.0 に影響を及ぼす。

脆弱性 CVE-2025-54313 は、eslint-config-prettier のサプライチェーン侵害に関するものであり、バージョン 8.10.1/9.1.1/10.1.6/10.1.7 に影響を及ぼす。これらのパッケージには、インストール時に実行される悪意のコードが埋め込まれており、Windows システム上の “install.js” スクリプトを通じて “node-gyp.dll” マルウェアを起動し、任意コード実行を可能にする恐れがある。

脆弱性 CVE-2025-68645 は、Zimbra Collaboration (ZCS) バージョン 10.0/10.1 の Webmail Classic UI に存在する、ローカル・ファイル・インクルージョン (LFI) の欠陥である。

RestFilter サーブレットには、ユーザーが提供するパラメータに対する不適切な検証の欠陥が存在する。それを悪用する未認証のリモート攻撃者は、”/h/rest” エンドポイントへ向けて細工されたリクエストを送信し、内部リクエストのディスパッチを操作できる。それにより、WebRoot ディレクトリ内の任意ファイルが読み取られ、機密情報の露出につながる可能性がある。

Binding Operational Directive (BOD) 22-01 “既知の悪用されている脆弱性による重大リスクの低減” によると、米国連邦政府 FCEB 機関は、カタログに記載された脆弱性を悪用する攻撃からネットワークを保護するため、定められた期限までに当該脆弱性へ対処する必要がある。CISA は FCEB 機関に対して、2026年2月12日までに、これらの脆弱性を修正するよう命じている。

専門家は、民間組織に対しても、KEV カタログを確認し、自社インフラに存在する該当脆弱性に対応することを推奨している。

CISA が公開した KEV カタログには、民間での開発や運用で用いられる身近なソフトウェアの脆弱性が含まれています。今回、登録された脆弱性の原因は、製品ごとに異なる技術的な不備にあります。Vite の CVE-2025-31125 はアクセス制御の不備であり、Versa Concerto の CVE-2025-34026 はリバース・プロキシのミスコンフィグに原因があります。また、Prettier eslint-config-prettier の CVE-2025-54313 は、サプライチェーン侵害による悪意のコードの混入に原因があり、Zimbra の CVE-2025-68645 は、入力値の検証不足により内部ファイルへの不正アクセスを許すものです。これらの脆弱性は、すでに攻撃に悪用されているため、速やかなアップデートや設定の確認が大切です。よろしければ、CISA KEV ページを、ご参照ください。