2026/04/14 SecurityAffairs — 米国の Cybersecurity and Infrastructure Security Agency (CISA) は、Adobe/Microsoft/Fortinet の脆弱性を Known Exploited Vulnerabilities (KEV)カタログへ登録した。以下は、今回カタログへ追加された脆弱性である。
CVE-2026-34621:Adobe Acrobat/Reader Prototype Pollution 脆弱性
CVE-2012-1854:Visual Basic for Applications 不正ライブラリロード脆弱性
CVE-2020-9715:Adobe Acrobat Use-After-Free 脆弱性
CVE-2023-21529:Exchange Server 信頼できないデータのデシリアライズ脆弱性
CVE-2023-36424:Windows 境界外読み取り脆弱性
CVE-2025-60710:Windows リンクフォロー脆弱性
CVE-2026-21643:Fortinet SQL Injection 脆弱性
1 つ目の、Acrobat/Reader の脆弱性 CVE-2026-34621 (CVSS 8.6) については、Adobe から緊急アップデートが公開されている。この脆弱性は実環境で悪用されており、影響を受けるシステム上で悪意のコード実行を許すため、迅速なパッチ適用が不可欠である。この欠陥は、オブジェクト・プロトタイプ属性の不適切な変更制御 (Prototype Pollution) に起因し、任意コード実行へとつながる。
2 つ目の脆弱性 CVE-2012-1854 は、Microsoft Office VBA コンポーネントに影響を及ぼす、不正検索パス/DLL ハイジャックの問題であり、Office および Visual Basic for Applications で使用される “VBE6.dll” が対象となる。
3 つ目の、Acrobat の脆弱性 CVE-2020-9715 は use-after-free に分類されるものであり、任意のコード実行を引き起こす可能性がある。
その他の、Microsoft 関連の脆弱性としては、Exchange Server の CVE-2023-21529 と、Windows の CVE-2023-36424/CVE-2025-60710 が、KEV カタログに登録された。
7 つ目の脆弱性として、Fortinet の CVE-2026-21643 (CVSS 9.1) がカタログに登録された。2026年02月の時点で、この脆弱性に対する緊急アドバイザリが公開されている。この脆弱性は、FortiClientEMS における SQL Injection に起因する。認証不要の攻撃者が、特別に細工された HTTP リクエストを送信することで、不正なコード/コマンドの実行が可能になる。攻撃に成功した攻撃者は、標的ネットワーク内での初期侵入点を獲得し、ラテラル・ムーブメントやマルウェア展開を引き起こす可能性を得る。
Binding Operational Directive (BOD) 22-01 “既知の悪用済み脆弱性リスク低減” に基づき、FCEB 機関は指定期限までに一連の脆弱性に対応し、ネットワークを防御する必要がある。
CISA は連邦機関に対して、Fortinet の脆弱性 CVE-2026-21643 を、2026年04月16日までに対応するよう指示している。その他の脆弱性については、2026年04月27日までの対応が求められている。
専門家は民間組織に対しても、KEV カタログの確認および自社インフラ内の脆弱性対応を推奨している。
訳者後書:米国の CISA が、Adobe/Microsoft/Fortinet の脆弱性を、既知の悪用済み脆弱性 (KEV) カタログに追加しました。特に Fortinet の CVE-2026-21643 は、認証なしで外部からデータベースを操作できてしまう SQL インジェクションという深刻な不備が原因となり、ネットワークへの侵入を許してしまうものです。文中でも指摘されているように、きわめて危険な脆弱性であるため、4月13〜4月16 の 3日間という短い期間での対応が指示されています。よろしければ、CISA KEV ページを、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.