CISA KEV 警告 26/03/20:Apple/Craft CMS/Laravel Livewire の脆弱性を登録

U.S. CISA adds Apple, Laravel Livewire and Craft CMS flaws to its Known Exploited Vulnerabilities catalog

2026/03/22 SecurityAffairs — 米国 Cybersecurity and Infrastructure Security Agency (CISA) は、Apple/Laravel Livewire/Craft CMS に存在する複数の脆弱性を Known Exploited Vulnerabilities (KEV) カタログへ追加した。追加された脆弱性は、以下の通りである。

  • CVE-2025-31277 (CVSS:8.8):Apple のバッファ・オーバーフロー
  • CVE-2025-43510 (CVSS:7.8):Apple の不適切なロック
  • CVE-2025-43520 (CVSS:8.8):Apple のバッファ・オーバーフロー
  • CVE-2025-32432 (CVSS:10.0):Craft CMS のコード・インジェクション
  • CVE-2025-54068 (CVSS:9.8):Laravel Livewire のコード・インジェクション
  • Apple の 3 件の脆弱性 CVE-2025-31277/CVE-2025-43510/CVE-2025-43520 が KEV カタログに追加された。これらの欠陥は、DarkSword と呼ばれる iOS エクスプロイト・キットで悪用されている。他の 3 件のバグと組み合わされることで、マルウェア配布に利用されている。これらの脆弱性は、Google Threat Intelligence Group/iVerify/Lookout が CISA に報告した。
  • Craft CMS のコード・インジェクションの脆弱性 CVE-2025-32432 は、2025年4月の時点で、Orange Cyberdefense の CSIRT によりサーバ侵害/データ窃取での悪用が報告されたものだ。Craft CMS の 2 つの脆弱性を連鎖させ、実環境で攻撃者が悪用していることが確認された。

それらの 2件の脆弱性とは、Craft CMS の欠陥 CVE-2025-32432 と、Craft CMS が使用する Yii フレームワークにおける入力検証不備の欠陥 CVE-2024-58136 である。SensePost によると、それらを悪用する攻撃者はサーバへ侵入して、PHP ファイル・マネージャをアップロードしていた。この攻撃は、CVE-2025-32432 の悪用から開始され、細工されたリクエストに含まれる “return URL” が、PHP セッション・ファイルへ保存される仕組みを悪用している。

すでに、これらの脆弱性は修正されている。CVE-2025-32432 は Craft CMS バージョン 3.9.15/4.14.15/5.6.17 で修正され、Yii フレームワークの問題も 2025年4月9日に公開された Yii 2.0.52 により修正されている。

  • Laravel Livewire のコード・インジェクションの脆弱性 CVE-2025-54068 も KEV カタログに追加された。この脆弱性は、イランの APT である MuddyWater の攻撃と関連付けられている。MuddyWater は、外交/緊急/エネルギーなどの重要セクターを標的とすることで知られる。2017年後半に観測された最初のキャンペーンは、中東地域の組織を対象とするものだった。

2017年2月から10月にかけての一連の攻撃は、属性の特定が困難であったことで “MuddyWater” と命名された。標的に含まれるのは、サウジアラビア/イラク/イスラエル/アラブ首長国連邦/ジョージア/インド/パキスタン/トルコ/米国である。その後、このグループは攻撃手法を拡張し、欧州/北米の組織も標的としている。主な標的は、テレコム/政府 (IT サービス)/石油セクターである。2022年1月の時点で US Cyber Command (USCYBERCOM) は、イランの Ministry of Intelligence and Security (MOIS) と MuddyWater との関連性を公式に確認している。

ーーー

Binding Operational Directive (BOD) 22-01 “既知の悪用脆弱性による重大リスクの低減” に基づき、FCEB 機関は指定期限までに、これらの脆弱性へ対処する必要がある。CISA は連邦機関に対して、2026年4月3日までに一連の脆弱性を修正するよう命じている。

専門家たちは民間組織に対しても、KEV カタログを確認し、自組織のインフラに存在する脆弱性に対処することを推奨している。

訳者後書:Apple/Craft CMS/Laravel Livewire の脆弱性が、CISA KEV カタログに追加されました。一連の脆弱性の原因は、 それぞれのソフトウェアにおける、入力検証やメモリ管理の不備にあります。 Apple のバッファ・オーバーフローの脆弱性 CVE-2025-31277/CVE-2025-43510/CVE-2025-43520 が、iOS エクスプロイト・キットに組み込まれ、 複数の脆弱性を連鎖させることでマルウェアの配布に悪用されていました。

また、 Craft CMS の脆弱性 CVE-2025-32432 は、 フレームワーク側の不備と組み合わされることで、サーバ上に不正な PHP ファイルを設置する 攻撃者に、 データ窃取などを許していました。 さらに、 Laravel Livewire のコード・インジェクションの脆弱性 CVE-2025-54068 は、 イランの脅威アクター MuddyWater による、重要インフラへの攻撃に悪用されていました。

よろしければ、CISA KEV ページも、ご参照ください。