米 CISA (Cybersecurity and Infrastructure Security Agency) は 4 月 20 日、実際の攻撃での悪用が確認されている脆弱性 8 件を Known Exploited Vulnerabilities (KEV) カタログに追加しました。連邦機関は期限までに緩和策の適用や利用停止が求められ、民間組織にも同様の対応が推奨されます。
主なポイント
- CVE-2023-27351: PaperCut NG / MF の
SecurityRequestFilterクラスにおける認証バイパスで、攻撃者が認証なしに機能を呼び出せる。修正期限は 5 月 4 日 - CVE-2025-48700: Synacor Zimbra Collaboration Suite (ZCS) の XSS 脆弱性。期限は 4 月 23 日と短く、連邦機関は即時対応が必要
- 追加全 8 件のうち複数が既にランサムウェアや標的型攻撃で観測されているとされる
- 連邦機関は BOD 22-01 に基づき、ベンダー指示に沿った緩和、クラウド指針適用、または利用停止のいずれかで対応する必要がある
- CISA は民間組織にもパッチ適用やアセット棚卸し、KEV 定期参照を強く推奨している
出典: CISA Adds Eight Known Exploited Vulnerabilities to Catalog