米国サイバーセキュリティ・インフラセキュリティ庁（CISA）は最近、さまざまなソフトウェア製品に影響する7つの特定の欠陥を追加することで、既知の悪用された脆弱性（KEV）カタログを更新しました。これらの追加には、Oracle E-Business Suite、Mozilla製品、Microsoft Windows、Linuxカーネル、Microsoft Internet Explorerの脆弱性が含まれます。

リストされた脆弱性は以下の通りです：
- CVE-2010-3765: Mozilla複数製品リモートコード実行の脆弱性
- CVE-2010-3962: Microsoft Internet Explorer 未初期化メモリ破損の脆弱性
- CVE-2011-3402: Microsoft Windows リモートコード実行の脆弱性
- CVE-2013-3918: Microsoft Windows 境界外書き込みの脆弱性
- CVE-2021-22555: Linuxカーネル ヒープ境界外書き込みの脆弱性
- CVE-2021-43226: Microsoft Windows 特権昇格の脆弱性
- CVE-2025-61882: Oracle E-Business Suite 未指定の脆弱性

注目すべきエントリはCVE-2025-61882で、CVSSスコア9.8の重大な欠陥で、Oracle E-Business Suiteのバージョン12.2.3から12.2.14に存在し、特にOracle Concurrent ProcessingのBI Publisher統合コンポーネントにあります。今週、Oracleはこのための緊急パッチを発行しました。この脆弱性は、HTTP経由で認証されていないリモート攻撃者が制御を獲得することを可能にし、Cl0p ransomwareグループによるデータ盗難攻撃で悪用されています。専門家はこれを容易に悪用可能と記述しています。

追加された一部の欠陥は特に古く、例えばCVE-2013-3918は2013年に遡ります。この脆弱性は当初、2009年のAurora攻撃を担当した高度な持続的脅威グループによって使用されました。2015年、Kasperskyは、Equationグループとして知られる国家主体の攻撃者がこのエクスプロイトを捕獲し、アフガニスタンの政府ユーザーを標的に再利用したと報告しました。

拘束力のある運用指令（BOD）22-01の下で、連邦民間執行部門の機関は、ネットワークを保護するために指定された期限までにこれらのKEVカタログの脆弱性を是正する必要があります。CISAは連邦機関がこれらを修正する期限を2025年10月27日と設定しました。セキュリティ専門家は、民間組織に対し、カタログを確認し、影響を受けるシステムを迅速にパッチ適用して同様の悪用を防ぐよう促しています。