出典: Security NEXT – https://www.security-next.com/178128
米当局、「ArrayOS AG」脆弱性など2件を悪用リストに追加
米当局、「ArrayOS AG」脆弱性など2件を悪用リストに追加
米当局は、2件の脆弱性が悪用されているとして米国の行政機関へ対策を促すとともに注意喚起を行った。CVE番号が割り当てられていなかった「ArrayOS AG」の脆弱性も含まれる。
米サイバーセキュリティインフラストラクチャセキュリティ庁(CISA)は現地時間2025年12月8日、2件の脆弱性「CVE-2025-66644」「CVE-2022-37055」を「悪用が確認された脆弱性カタログ(KEV)」へ追加した。米国内の行政機関へ対策を促すとともに、利用者へ注意するよう広く呼びかけている。
「CVE-2025-66644」は、Array Networksのリモートアクセス製品「Array AGシリーズ」に搭載されている「ArrayOS AG」に判明したOSコマンドインジェクションの脆弱性。
「ArrayOS AG 9.4.5.9」で修正されるもCVE番号は採番されておらず、日本国内で2025年8月以降に悪用されているとしてJPCERTコーディネーションセンターが報告。「IoC(Indicators of Compromise
