### CISA、緊急対応を要する重大な脆弱性を警告 **CISA**は最近、**KEV**カタログを更新し、3つの重大な脆弱性が活発に悪用されていることを示しました。これにより、連邦機関は迅速な修正または緩和策の実施が義務付けられ、これらの脆弱性がサイバーセキュリティインフラストラクチャに与える差し迫った脅威が浮き彫りになっています。 追加された脆弱性の内訳は以下の通りです。 * **CVE-2026-20245**（CVSSスコア：7.8）：**Cisco Catalyst SD-WAN Manager**における不適切なエンコーディングまたはエスケープの脆弱性。この脆弱性により、認証されたローカル攻撃者は、細工されたファイルをシステムに提供することで、root権限で任意のコマンドを実行できる可能性があります。 * **CVE-2026-11645**（CVSSスコア：8.8）：**Google Chrome V8**における境界外読み取りおよび書き込みの脆弱性。この重大な脆弱性により、リモート攻撃者は、特別に細工されたHTMLページを介してサンドボックス内で任意のコードを実行できる可能性があります。 * **CVE-2026-7473**（CVSSスコア：6.9）：**Arista Extensible Operating System（EOS）**における不完全な比較と欠落した要因の脆弱性。これにより、設定されていないトンネルトラフィックが処理される可能性があります。 ### Arista EOSの脆弱性：悪用されているがパッチは計画なし **Arista EOS**の脆弱性である**CVE-2026-7473**は、特異な課題を提示しています。**Arista**は、この脆弱性が実世界で活発に悪用されていることを確認しています。問題は、**Arista EOS**を実行している影響を受けるプラットフォームで、トンネルカプセル化解除の設定（**VXLAN**、decap-groups、または**GRE**トンネルインターフェイスなど）が存在する場合に発生します。スイッチは、宛先IPが設定されたカプセル化解除IPと一致する場合、トンネルプロトコルタイプを検証せずに、予期しないカプセル化解除されたトンネルパケットを誤って処理し転送する可能性があります。 影響を受ける製品には、7020R、7280R/R2、および7500R/R2シリーズが含まれます。悪用には、デバイスがカプセル化解除IPを持つトンネルエンドポイントとして設定されている必要があります。 活発な悪用にもかかわらず、**Arista**は**CVE-2026-7473**に対するパッチは計画されていないと述べています。同社は、デプロイメントにおける既存の設定を破壊するリスクを理由として挙げています。代わりに、**Arista**は緩和策を提供しており、アップストリームデバイスまたは予期しないカプセル化解除が発生しているデバイスに**アクセス制御リスト（ACL）**を適用することに焦点を当てています。目標は、正当なトンネルトラフィックを選択的に許可するか、悪意のあるトンネルトラフィックをブロックすることです。 この脆弱性を責任を持って開示した人物として、**ComcastのScott Christiansen、Lukas Peitz、Rich Compton、Jonathan Davis**が挙げられています。 ### 連邦機関向けの緊急締め切り **連邦民間執行機関（FCEB）**は、2026年6月23日までに、3つの脆弱性すべてに対する必要な修正または緩和策を適用することが義務付けられています。この指示は、ITセキュリティ専門家およびプライバシーを意識したユーザーが、システムを評価し、これらの活発に悪用されている脅威から保護するために推奨される安全策を実装することの緊急性を強調しています。