CISA KEV 警告 26/02/12:SolarWinds WHD/Notepad++/Microsoft Config Man/Apple の脆弱性を登録

U.S. CISA adds SolarWinds Web Help Desk, Notepad++, Microsoft Configuration Manager, and Apple devices flaws to its Known Exploited Vulnerabilities catalog

2026/02/13 SecurityAffairs — 米国の Cybersecurity and Infrastructure Security Agency (CISA) は、SolarWinds Web Help Desk/Notepad++/Microsoft Configuration Manager/Apple デバイスに関する脆弱性を、Known Exploited Vulnerabilities (KEV) カタログに追加した。追加された脆弱性は、以下の通りである。

  • CVE-2024-43468 (CVSS:9.8):Microsoft Config Manager の SQLi 欠陥
  • CVE-2025-15556 (CVSS:7.7):Notepad++ のアップデート整合性欠如
  • CVE-2025-40536 (CVSS:8.1):SolarWinds WHD のセキュリティ制御バイパス
  • CVE-2026-20700 (CVSS:7.8):Apple のバッファ・オーバーフロー

1 つ目は、Microsoft Configuration Manager における SQL Injection 脆弱性 CVE-2024-43468 である。未認証の攻撃者が細工されたリクエストを送信することで、安全でない処理が誘発され、サーバまたは基盤データベース上でのコマンド実行が可能となる。

2 つ目は、Notepad++ Download of Code Without Integrity Check 脆弱性 CVE-2025-15556 である。Notepad++ のバージョン 8.8.9 未満で WinGUp を使用している場合に、アップデートの整合性検証が行われないという欠陥がある。アップデート通信を傍受した攻撃者は、悪意のインストーラを実行させ、ユーザー権限を介して任意コードを実行できる。

3 つ目は、SolarWinds Web Help Desk の、セキュリティ制御バイパスの脆弱性 CVE-2025-40536 である。この脆弱性を悪用する未認証の攻撃者は、Web Help Desk 内の一部の制限機能にアクセス可能となる。攻撃対象は広範ではないが、悪用に成功した攻撃者は、機微な機能の露出およびアプリケーション全体のセキュリティ態勢の弱体化を引き起こせる。

4 つ目は、Apple の Multiple Buffer Overflow 脆弱性 CVE-2026-20700 である。先日に Apple は、 iOS/iPadOS/macOS/watchOS/tvOS/visionOS 向けにアップデートを公開し、実際に悪用されているゼロデイ脆弱性 CVE-2026-20700 を修正した。この脆弱性は、Apple の Dynamic Link Editor (dyld) におけるメモリ破損の問題であり、脆弱なデバイス上での任意のコード実行を許すものである。この脆弱性を発見したのは、Google の Threat Analysis Group であり、国家に支援されるアクターもしくは商用スパイウェア・ベンダーにより、実環境攻撃で悪用された可能性が示唆される。

Binding Operational Directive (BOD) 22-01: Reducing the Significant Risk of Known Exploited Vulnerabilities によると、FCEB 機関はカタログに掲載された脆弱性に対して、指定された期限までに対応し、自組織ネットワークを保護する必要がある。

CISA は連邦機関に対し、2026年3月5日までに、当該脆弱性を修正するよう命じている。ただし SolarWinds の CVE-2025-40536 については、2026年2月15日までの対応が求められている。

専門家たちは民間組織に対しても、KEV カタログを確認し、自社インフラに存在する脆弱性へ対応することを推奨している。

米国の CISA が、実環境での悪用が確認された 4 件の脆弱性を、Known Exploited Vulnerabilities (KEV) カタログに追加しました。一連の問題の原因は、外部からの命令に対する検証の不備や、メモリの扱いにおける予期せぬエラーなどにあります。具体的には、データベースへの命令を書き換えられる SQL インジェクションや、アップデート時の整合性チェックが不十分なことによる悪意あるソフトの混入、さらには、システム中核部でのメモリ管理不備といった設計上のミスが、攻撃者に侵入口として悪用されています。ご利用のチームは、ご注意ください。よろしければ、CISA KEV ページも、ご参照ください。