CISA KEV 警告 26/06/09:Cisco SD-WAN/Chrome V8/Arista EOS の脆弱性を追加

CISA Adds Cisco, Chrome, and Arista Flaws to KEV Catalog Amid Active Exploitation

2026/06/10 TheHackerNews — 米国の Cybersecurity and Infrastructure Security Agency (CISA) は、活発な悪用が報告されていることを受け、Known Exploited Vulnerabilities (KEV) カタログに 3 件の新たな脆弱性を追加したと発表した。

追加された脆弱性は以下のとおりである。

  • CVE-2026-20245 (CVSS 7.8):Cisco Catalyst SD-WAN Manager における出力の不適切なエンコードまたはエスケープに起因する脆弱性である。この欠陥を突く認証済みのローカル攻撃者は、細工されたファイルを標的システムに提供することで、root 権限で任意のコマンドを実行する可能性がある。
  • CVE-2026-11645 (CVSS 8.8):Google Chrome V8 における境界外読み取り/書き込みの脆弱性である。この欠陥を突くリモート攻撃者は、細工された HTML ページを介して、サンドボックス内で任意のコード実行を可能にする。
  • CVE-2026-7473 (CVSS 6.9):Arista Extensible Operating System (EOS) における、不完全な比較 (要素不足) に起因する脆弱性である。この問題により、未設定のトンネル・トラフィックが処理される可能性がある。悪用が確認されているが、Arista にはパッチ提供の予定はないとされている。

Arista によると、VXLAN (Virtual Extensible LAN)/decap-group/GRE (Generic Routing Encapsulation) トンネル・インターフェイスなどのトンネル・デカプセル化設定が存在する EOS プラットフォームにおいて問題が発生する。

これにより、設定されたデカプセル化 IP とデスティネーション IP が一致する、トンネル・パケットを誤って転送するという挙動が発生する。この問題はトンネル・プロトコルの種類を検証していないことに起因するため、設定されていないトンネル・トラフィックが予期せずに処理される可能性がある。

このセキュリティ欠陥は主に 7020R、7280R/R2、7500R/R2 シリーズに影響する。ただし、悪用が成立するためには、VXLAN VTEP/GRE トンネル・エンドポイント/IP decap-group などの、デカプセル化 IP を持つトンネル・エンドポイントとして、対象デバイスが設定されている必要がある。

Arista は、この脆弱性が「実環境で悪用されていると報告されている」と認めており、Comcast の Scott Christiansen/Lukas Peitz/Rich Compton/Jonathan Davis に対して、責任ある開示への謝意を示している。

しかし Arista は、パッチの適用により既存環境の設定が破損するリスクがあるとし、脆弱性 CVE-2026-7473 に対するパッチを提供する予定はないと説明している。その代わりに、この問題に対処するための緩和策を提示している。

推奨される緩和策は 2 つに分類される。

  1. 上流デバイスに ACL を適用する。
  2. 想定外のデカプセル化が発生するデバイスに ACL を適用する。

いずれの場合も、正当なトンネル・トラフィックのみの許可と、悪意のトンネル・トラフィックの遮断を目的としている。

Federal Civilian Executive Branch (FCEB) 機関は、これら 3 件の脆弱性による脅威に対処するために、2026年6月23日までに必要な修正/緩和策を適用するよう命じられている。

訳者後書:Cisco Catalyst SD-WAN/Google Chrome V8/Arista EOS の脆弱性が、CISA KEV カタログに追加されました。Cisco の CVE-2026-20245 は、出力するデータに対する不適切なエンコード/エスケープ処理が原因です。Google の CVE-2026-11645 は、プログラムが用意したメモリの範囲を超えて読み書きを行う境界外処理が原因となっています。そして Arista の CVE-2026-7473 は、通信プロトコルの種類を正しく検証しないという不完全な比較に起因し、想定外のネットワーク通信を誤って処理してしまいます。このように、いずれの問題もデータの不適切な処理や、プログラム内での検証不足といった開発時の設計ミスが主な原因となっています。ご利用のチームは、ご注意ください。よろしければ、CISA KEV ページも、ご参照ください。