米CISA、悪用確認の脆弱性6件をカタログに追加

米CISAが悪用確認済み脆弱性を6件追加

米サイバーセキュリティインフラストラクチャセキュリティ庁（CISA）は、実際に悪用が確認された6件の脆弱性を「悪用が確認された脆弱性カタログ（KEV）」に追加しました。追加は現地時間2026年4月22日から24日にかけて行われ、米行政機関は指定期限内に対応する必要があります。

追加された脆弱性の内訳

4月22日には、マイクロソフトが4月の月例セキュリティ更新で修正した「Microsoft Defender」の権限昇格の脆弱性「CVE-2026-33825」が追加されました。パッチリリース時点では悪用は確認されていませんでしたが、情報は公開済みで悪用される可能性が高いとされていました。

翌23日には、ノートブック環境「Marimo」において認証不要でリモートからコードを実行できる脆弱性「CVE-2026-39987」が登録されました。さらに24日には4件が追加され、遠隔サポートソフト「SimpleHelp」の権限管理不備の脆弱性「CVE-2024-57726」とパストラバーサルの脆弱性「CVE-2024-57728」、Samsungのデジタルサイネージ管理基盤「MagicINFO 9 Server」の脆弱性「CVE-2024-7399」、D-Link製ルータ「DIR-823X」のコマンドインジェクションの脆弱性「CVE-2025-29635」が含まれています。

今回の公表で判明していること

CISAは悪用が確認された脆弱性を随時KEVに追加しており、今回の追加により、Microsoft Defender、Marimo、SimpleHelp、Samsung、D-Linkの製品における脆弱性が新たに公表されました。これらの脆弱性は広く悪用されるおそれがあるため、ユーザーは注意を払う必要があるとされています。