技術2026年6月19日(金)約8分Joomla JCE CVE-2026-48907がCISA KEV入り、更新後も不正プロファイルとPHPファイルを確認するJoomla Content Editor 2.9.99.4以前の未認証プロファイル取り込みからPHPコード実行。CISA KEV追加で期限は2026年6月19日。JCE 2.9.99.7への更新と、侵害済みサイトの不正プロファイル・ウェブシェル確認まで必要。セキュリティCVERCECISAPHPCMS脆弱性
技術2026年6月10日(水)約9分LiteLLM CVE-2026-42271がCISA KEV入り、MCP stdioテスト経由でRCELiteLLM 1.74.2〜1.83.6のMCP stdioテストAPIで任意コマンド実行。CISA KEV入り済み。LiteLLM 1.83.7以上とStarlette 1.0.1以上へ更新。BadHostが残ると未認証RCEになる。セキュリティCVERCECISAMCPLLM
技術2026年5月30日(土)約8分Microsoft DefenderのRedSunとUnDefendにCVEが付き実際の悪用も確認されたRedSunとUnDefendとして先に出ていたMicrosoft Defenderの2件がCVE-2026-41091とCVE-2026-45498として公開され、CISA KEVにも入った。エンジン1.1.26040.8とプラットフォーム4.18.26040.7まで更新できているかを確認する。セキュリティMicrosoftWindows脆弱性CVECISAKEV
技術2026年5月12日(火)更新約7分NIST NVDの優先度付きenrichmentでSCAツールごとに見落とし方が変わる2026年4月15日のNIST NVD運用変更で、KEV・米連邦利用ソフト・EO 14028 critical software以外のCVEはDeferredで止まる。Snyk・Trivy・Dependabot・OSV-Scanner・Grypeが何を見ているか、NVD APIでvulnStatusを確認するコマンド、実際にDeferredになったCVE例までまとめた。セキュリティ脆弱性CVECISA
技術2026年4月17日(金)約12分Apache ActiveMQ Jolokia APIのRCE脆弱性CVE-2026-34197がCISA KEV入り、連邦機関に4/30修正期限13年間コードベースに潜んでいたApache ActiveMQ ClassicのRCE脆弱性CVE-2026-34197がCISA KEVに追加。Jolokia API経由のMBean操作でVMトランスポートとSpring XMLを連結し、リモートコマンド実行に至る。CVE-2024-32114と組み合わせれば未認証RCEとなる。影響は5.19.4未満および6.0.0〜6.2.2。SecurityApacheActiveMQCVECISARCEJavaSpring
技術2026年4月15日(水)更新約7分2026年4月Patch Tuesday、163件パッチでSharePointゼロデイとBlueHammer PoC公開に対応史上2番目の規模となったMicrosoft 4月Patch Tuesday。SharePoint Server XSSゼロデイ(CVSS 6.5)が実攻撃で悪用されCISA KEV入り、Windows DefenderのBlueHammer(CVSS 7.8)はフルPoC公開済み。IKEワーム化RCE(CVSS 9.8)を含む高CVSSも多数。セキュリティMicrosoftWindowsSharePointCVE脆弱性CISAKEV
技術2026年4月14日(火)約9分CISA KEV、Fortinet・Microsoft・Adobe 7件を一斉追加(4月13日)FortiClient EMSのSQLインジェクション(CVSS 9.1)を含む7件が実悪用確認でKEV入り。連邦機関はFortinetのみ4月16日、残り6件は4月27日が期限。セキュリティCISACVEFortinetMicrosoftAdobe脆弱性KEV
技術2026年3月29日(日)約4分F5 BIG-IP APMの未認証RCEがCISA KEV入り、中国APTがF5侵害中に発見したCVE-2025-53521F5 BIG-IP APMの未認証RCE脆弱性CVE-2025-53521(CVSS 9.8)がCISA KEVに追加された。元はDoSとして分類されていたが、F5のネットワークを侵害した中国系APTがソースコードを盗んで再分類した経緯を持つ。連邦機関の対応期限は2026年3月30日。セキュリティF5BIG-IPCVECISARCEAPT
技術2026年3月22日(日)約4分CISA KEVにCraft CMS CVSS10.0・Laravel CVSS9.8・Apple WebKit脆弱性5件追加、4月3日パッチ期限MuddyWaterとDarkSword悪用確認済みの5件がKEVカタログ入り。Craft CMSはCVSS10.0のゼロデイで2月から実攻撃が続いており、Laravel LivewireはMuddyWaterが中東インフラへの攻撃に活用中。セキュリティCISACVECraft CMSLaravelAppleMuddyWaterDarkSword
技術2026年3月13日(金)約4分n8nの複数RCE脆弱性とCISA KEV追加、24,700インスタンスに未パッチが残るn8nのワークフロー式評価に深刻なRCE脆弱性が複数発見された。CVE-2025-68613(CVSS 9.9)はCISAのKEVカタログに追加され積極的な悪用が確認済み。未認証攻撃が可能なCVE-2026-27493(CVSS 9.5)も含め、全ユーザーに即時パッチ適用が必要。セキュリティn8nCVERCECISA
技術2026年3月6日(金)約11分CyberStrikeAI FortiGate侵害600台、Cloudflare WAF常時検知、RFC 9849 ECH標準化、VMware Aria KEV登録AI攻撃ツールCyberStrikeAIによるFortiGate 600台侵害、CloudflareのWAF検知・遮断分離アーキテクチャ、TLS Encrypted Client Hello標準化、VMware Aria OperationsのCISA KEV追加。2026年3月初旬のインフラセキュリティ4件。セキュリティFortiGateVMwareCVECISACloudflareWAFTLSECHAI攻撃ツール脆弱性
技術2026年2月22日(日)更新約6分CISA KEV追加の重大脆弱性4件(ChromiumゼロデイからデフォルトRCEまで)同じ週にCISA KEVカタログへ追加されたChromium CSSエンジンUAF、Roundcubeの10年潜伏RCE、BeyondTrustのランサムウェア悪用RCE、Daguのデフォルト認証なしRCE。4件すべてで即時パッチ適用が必要。セキュリティ脆弱性CISAKEVRCEゼロデイChromiumRoundcubeBeyondTrust