#CISA

NIST NVDの優先度付きenrichmentでSCAツールごとに見落とし方が変わる

2026年4月15日のNIST NVD運用変更で、KEV・米連邦利用ソフト・EO 14028 critical software以外のCVEはDeferredで止まる。Snyk・Trivy・Dependabot・OSV-Scanner・Grypeが何を見ているか、NVD APIでvulnStatusを確認するコマンド、実際にDeferredになったCVE例までまとめた。

Apache ActiveMQ Jolokia APIのRCE脆弱性CVE-2026-34197がCISA KEV入り、連邦機関に4/30修正期限

13年間コードベースに潜んでいたApache ActiveMQ ClassicのRCE脆弱性CVE-2026-34197がCISA KEVに追加。Jolokia API経由のMBean操作でVMトランスポートとSpring XMLを連結し、リモートコマンド実行に至る。CVE-2024-32114と組み合わせれば未認証RCEとなる。影響は5.19.4未満および6.0.0〜6.2.2。

2026年4月Patch Tuesday、163件パッチでSharePointゼロデイとBlueHammer PoC公開に対応

史上2番目の規模となったMicrosoft 4月Patch Tuesday。SharePoint Server XSSゼロデイ（CVSS 6.5）が実攻撃で悪用されCISA KEV入り、Windows DefenderのBlueHammer（CVSS 7.8）はフルPoC公開済み。IKEワーム化RCE（CVSS 9.8）を含む高CVSSも多数。

CISA KEV、Fortinet・Microsoft・Adobe 7件を一斉追加（4月13日）

FortiClient EMSのSQLインジェクション（CVSS 9.1）を含む7件が実悪用確認でKEV入り。連邦機関はFortinetのみ4月16日、残り6件は4月27日が期限。

F5 BIG-IP APMの未認証RCEがCISA KEV入り、中国APTがF5侵害中に発見したCVE-2025-53521

F5 BIG-IP APMの未認証RCE脆弱性CVE-2025-53521（CVSS 9.8）がCISA KEVに追加された。元はDoSとして分類されていたが、F5のネットワークを侵害した中国系APTがソースコードを盗んで再分類した経緯を持つ。連邦機関の対応期限は2026年3月30日。

CISA KEVにCraft CMS CVSS10.0・Laravel CVSS9.8・Apple WebKit脆弱性5件追加、4月3日パッチ期限

MuddyWaterとDarkSword悪用確認済みの5件がKEVカタログ入り。Craft CMSはCVSS10.0のゼロデイで2月から実攻撃が続いており、Laravel LivewireはMuddyWaterが中東インフラへの攻撃に活用中。

n8nの複数RCE脆弱性とCISA KEV追加、24,700インスタンスに未パッチが残る

n8nのワークフロー式評価に深刻なRCE脆弱性が複数発見された。CVE-2025-68613（CVSS 9.9）はCISAのKEVカタログに追加され積極的な悪用が確認済み。未認証攻撃が可能なCVE-2026-27493（CVSS 9.5）も含め、全ユーザーに即時パッチ適用が必要。

CyberStrikeAI FortiGate侵害600台、Cloudflare WAF常時検知、RFC 9849 ECH標準化、VMware Aria KEV登録

AI攻撃ツールCyberStrikeAIによるFortiGate 600台侵害、CloudflareのWAF検知・遮断分離アーキテクチャ、TLS Encrypted Client Hello標準化、VMware Aria OperationsのCISA KEV追加。2026年3月初旬のインフラセキュリティ4件。

CISA KEV追加の重大脆弱性4件（ChromiumゼロデイからデフォルトRCEまで）

同じ週にCISA KEVカタログへ追加されたChromium CSSエンジンUAF、Roundcubeの10年潜伏RCE、BeyondTrustのランサムウェア悪用RCE、Daguのデフォルト認証なしRCE。4件すべてで即時パッチ適用が必要。

CISAがアクティブ悪用中の脆弱性4件をKEVカタログに追加

CISAが2026年2月のKEVカタログ更新で、Google ChromeのUAF（CVE-2026-2441）を含む4件の脆弱性を追加。17年前のMicrosoft脆弱性も再浮上した。