技術 約4分で読めます

CISA KEVにCraft CMS CVSS10.0・Laravel CVSS9.8・Apple WebKit脆弱性5件追加、4月3日パッチ期限

Security CISA CVE Craft CMS Laravel Apple MuddyWater DarkSword

CISA(米国サイバーセキュリティ・インフラセキュリティ庁)は2026年3月20日、5件の脆弱性をKEV(Known Exploited Vulnerabilities)カタログに追加し、連邦機関に対して4月3日までのパッチ適用を義務付けた。対象はApple WebKit/Kernel、Craft CMS、Laravel Livewireで、MuddyWater(イラン国家支援グループ)とDarkSword(iOS悪用ツールキット)が実際の攻撃に使っていることが確認されている。

KEVカタログとは、CISAが実際に悪用が確認された脆弱性を集めたリスト。連邦機関には指定期限内のパッチ適用が義務付けられるが、民間組織にとっても優先パッチ適用の実質的な根拠になる。

5件の概要

CVE製品CVSS内容
CVE-2025-32432Craft CMS10.0コードインジェクション→未認証RCE
CVE-2025-54068Laravel Livewire9.8コードインジェクション→未認証RCE
CVE-2025-31277Apple WebKit8.8メモリ破壊→任意コード実行
CVE-2025-43520Apple Kernel8.8メモリ破壊→カーネルメモリ書き込み
CVE-2025-43510Apple Kernel7.8メモリ破壊→プロセス間共有メモリ改ざん

Craft CMS CVE-2025-32432(CVSS 10.0)

2025年4月に修正済みだが、修正前から悪用が始まっていた。Mimo(別名 Hezb)グループが2025年2月時点でゼロデイとして使っており、KEV入りはその後追いの形になる。

脆弱性の本質はテンプレートエンジンのコードインジェクション。Craft CMSはTwigをテンプレートに使っており、ユーザー入力の検証が不十分な箇所でサーバー側のコードとして評価される。認証不要でリモートからPHPコードを実行できるため、CVSS 10.0という最高スコアになっている。

影響するバージョンは広く、修正版(4.x系ではv4.14.2以降、5.x系ではv5.6.2以降)に更新していない環境は即座に対応が必要。

Laravel Livewire CVE-2025-54068(CVSS 9.8)

2025年7月修正。MuddyWater(Boggy Serpentsとも呼ばれるイラン国家支援グループ)が中東の組織と重要インフラへの攻撃に活用していることが確認された。

Laravel Livewireはリアルタイムコンポーネントをサーバーサイドで処理するフレームワーク。このCVEはコンポーネントのシリアライズ/デシリアライズ処理に存在し、特定条件下で未認証の攻撃者がリモートコマンドを実行できる。

MuddyWaterはATT&CKのフレームワーク上でも継続的に追跡されている攻撃グループで、フィッシングと脆弱なWebアプリケーションへの初期侵入を組み合わせた手口が特徴。Laravel LivewireはPHPエコシステムで広く使われているため、攻撃面が広い。

攻撃チェーンは以下のような流れになる。

graph TD
    A[攻撃者] -->|悪意あるリクエスト送信| B[Laravel Livewire エンドポイント]
    B -->|デシリアライズ処理| C[コード評価]
    C -->|認証バイパス| D[任意コマンド実行]
    D --> E[バックドア設置]
    D --> F[認証情報窃取]
    D --> G[横展開]
    E & F & G -->|C2通信| H[MuddyWater C2]

Apple WebKit・Kernel(DarkSwordエクスプロイトキット)

3件のApple脆弱性はDarkSword iOSエクスプロイトキットとの関連が確認されている。DarkSwordはGoogle Threat Intelligence Group・iVerify・Lookoutが共同で調査したツールキットで、GHOSTBLADE・GHOSTKNIFE・GHOSTSABERというマルウェアファミリーを展開してデータ窃取を行う。

WebKit(CVE-2025-31277、CVSS 8.8)はSafariと全iOSブラウザエンジンの基盤になっているため、悪意あるWebコンテンツを読み込ませるだけで初期侵害が成立する。そこからKernelの脆弱性(CVE-2025-43520で特権昇格)につないで端末全体を掌握するという二段構えが確認されている。

3件とも修正済みで、CVE-2025-31277は2025年7月、CVE-2025-43510とCVE-2025-43520は2025年12月のiOS/iPadOS/macOSアップデートで対応された。

対応期限と優先順位

連邦機関の期限は2026年4月3日。民間でも、Web向け(Craft CMS・Laravel Livewire)の2件は攻撃者のターゲットになりやすく、パブリックアクセス可能な環境なら最優先で対応すべき水準。

Craft CMSは管理画面がインターネットに露出しているケースが多い。Livewireを使ったLaravelアプリも同様で、ルーティング設定次第ではLivewireエンドポイントが直接外部から到達できる状態になっている。

AppleデバイスについてはiOS/macOSを最新に保つのが基本で、特に2025年7月・12月のアップデートが未適用なら即座に更新する。