ISSコラム

column by iss

2026年2月の主な脆弱性

2026.03.10

CVE‑2026‑20127 — Cisco Catalyst SD‑WAN コントローラ(CVSS 10.0:Critical)

2月後半、Cisco社が自社のCatalyst SD‑WAN Controllerに関して CVSS 10.0 の深刻な認証不備脆弱性(CVE‑2026‑20127)を公開し、同脆弱性が実際に長期にわたり悪用されている事を公表しました。この欠陥は、SD‑WANコントローラの「ピアリング認証メカニズム」が正しく機能しないことに起因し、外部から細工された要求を送信することで高権限ユーザとしてログインが可能となります。更に攻撃者は NETCONFインターフェースを悪用することで、SD‑WANのネットワーク構成を操作、ルートレベルのアクセス権を取得し、永続化と設定改ざんが可能な状態を作り出していました。Cisco Talosの分析では、攻撃者が対象システムを古い脆弱版にダウングレードして侵入後、元のファームウェアに戻す手口も確認され、検出回避を狙った巧妙さを示しています。米国 CISAは本欠陥をKEVカタログに追加し、連邦機関に対して即時修正を求めています 。

この SD‑WAN脆弱性は単なる「ネットワーク機器の侵害」に留まらず、企業バックボーン全体の SD‑WAN制御全体を掌握する可能性があり、ネットワークポリシーの横展開、VPN経路の悪用、内部通信の乗っ取りに直結します。本質的には管理インターフェース保護と構成変更の検知が不可欠です。

CVE‑2026‑25108 — FileZen OS コマンドインジェクション(CVSS 8.7:High)

日本発の大容量ファイル転送ソフト「FileZen」におけるOSコマンドインジェクション脆弱性で米国CISAによりKEVに追加されました。この脆弱性は、ログイン済みユーザが特殊なHTTPリクエストを送信することで、サーバ側で任意OSコマンドを実行できる欠陥です。影響バージョンは4.2.1~4.2.8、および5.0.0~5.0.10で、FileZenのAntivirus Check オプションが有効な環境で悪用される事例が報告されています 。

本脆弱性は認証済みユーザが対象となるものの、一般ユーザ権限で侵入してもシステムコマンド実行に繋がるため、内部環境での横展開/サーバ破壊/情報窃取を許す可能性があります。FileZen は企業ネットワークで広く利用されているため、ユーザ権限の最小化とログ監視の強化が重要です。

CVE‑2026‑25049(n8n Sandbox Escape) (CVSS 9.4:Critical)

「機密性・完全性・可用性がすべて“High”」と評価されるこの脆弱性は、認証済みユーザーが細工したコードでサンドボックスを脱出してホストOS上で任意コードを実行し、全APIキーや認証情報が奪取されるため、AIワークフロー基盤の“根こそぎ侵害”につながり、利用企業は即時パッチ適用とAPIキー再発行が必須となる重大な脆弱性です。

CVE‑2026‑21510(Windows Shell SmartScreenバイパス)(CVSS 8.8:High)

「攻撃者によるネットワーク・ユーザー操作が必要だが影響が高い」と評価されるこのゼロデイは、細工されたファイルやリンクを開くだけでSmartScreenなどの保護機能が完全に無効化され、マルウェア実行や初期侵入の成功率が急上昇するため、企業はパッチ適用とPowerShell監視を最優先で行う必要があります。

CVE‑2026‑21514(Microsoft Word セキュリティ機能バイパス)(CVSS 8.0:High)

「ユーザー操作が必要だが影響が大きい」とされるこの脆弱性は、細工されたWord文書を開くだけで保護ビューやマクロ制限が回避され、COM/OLE経由でRCEに発展してメール経由の広範囲感染を招くため、パッチ適用とメールゲートウェイでのOLE制御が不可欠です。

CVE‑2026‑21513(MSHTML Framework バイパス)(CVSS:7.8High)

「影響は高いが攻撃条件がやや限定的」とされるこの脆弱性は、Office文書、HTMLメール、WebView2アプリなどMSHTMLを利用する多様な経路でセキュリティ機能が回避され、RCEやフィッシング成功率の上昇につながるため、企業はOffice系更新とHTMLコンテンツ制御を強化する必要があります。

本コラムについて

インターネットセキュアサービス㈱(以下、ISS)が提供する脆弱性情報は、全ての脆弱性情報を対象にせず、ISSが次の基準で判断しています。

・インターネット上で悪用が確認されている脆弱性

・CVEスコアが低くても対応が必要と判断した脆弱性

・ISSが対応したインシデントの経験から危険性が高いと判断される脆弱性

なお、記載内容は全てを保証するものではありません。

ISSは、皆様のセキュリティ対策のお役に立つ情報を積極的に発信してまいります。