Known Exploited Vulnerabilities catalogが重いのは、理論上の欠陥一覧ではなく、実際に悪用が確認された脆弱性をまとめたリストだからだ。だから4月13日の更新は見逃しにくい。CISAは今回、Adobe Acrobat and Reader、Fortinet FortiClient EMS、Microsoft Exchange Server、Microsoft Windows、Microsoft VBAにまたがる7件を追加し、そのうち1件には4月16日という近い連邦対応期限を付けた。

最も時計が速いのはFortiClient EMSの CVE-2026-21643 だ。CISAによれば、このSQL injection脆弱性は細工されたHTTP requestを通じて、認証されていない攻撃者にunauthorized codeやcommand executionの可能性を与える。連邦民間機関の期限は4月16日。残る6件の期限は4月27日だが、緊急度が低いという意味ではない。Adobe 2件とMicrosoft 4件が含まれ、remote code executionとprivilege escalationの経路が同じ更新に並んでいる。

Adobe: CVE-2020-9715, CVE-2026-34621
Fortinet: CVE-2026-21643
Microsoft: CVE-2012-1854, CVE-2025-60710, CVE-2023-21529, CVE-2023-36424

今回の追加が目を引くのは、対象範囲が広いからだ。document reader、endpoint management server、Windows内部、Exchange Server、VBAが同じ日に並び、insecure library loading、out-of-bounds read、prototype pollution、SQL injection、deserializationまで混在している。防御側にとっては、攻撃が一つの製品カテゴリに閉じていないことを改めて示す更新だ。

CISAは組織に対し、KEV catalogをvulnerability prioritizationの入力として使うよう求めており、JSON feedには4月13日に追加された項目とdue dateがそのまま載っている。実務的な読み方は明快だ。Fortinet、Adobe、Microsoft資産が残っている環境では、これは次回メンテナンスのメモではなく、今すぐpatch queueを組み替える合図だ。

#kev

CISA、悪用済みのAdobe・Fortinet・Microsoft脆弱性7件を追加