Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

Zohoのアクセス管理製品にあらたな脆弱性 - 6月判明の脆弱性はすでに攻撃対象

Zohoが提供する複数のアクセス管理製品に深刻な脆弱性が明らかとなった。対象となる製品では、6月に判明した脆弱性の悪用が確認されるなど標的とされており、早急な対処が求められる。

パスワード管理機能を提供する「ManageEngine Password Manager Pro」をはじめ、特権管理製品「ManageEngine PAM360」、シングルサインオン製品「ManageEngine Access Manager Plus」にSQLインジェクションの脆弱性「CVE-2022-40300」が明らかとなったもの。

同脆弱性を悪用することで、データベースに対してクエリの実行が可能となる。同社では重要度を4段階中2番目にあたる「高(High)」とレーティングしている。

一方、米国立標準技術研究所(NIST)の脆弱性データベース「NVD」では、共通脆弱性評価システム「CVSSv3.1」において同脆弱性のベーススコアを「9.8」、重要度を「クリティカル(Critical)」と評価した。

同社では、「Password Manager Pro 12121」「PAM360 5600」「Access Manager Plus 4305」を9月10日、11日にリリースし、これら脆弱性に対処している。

(Security NEXT - 2022/10/04 ) このエントリーをはてなブックマークに追加

PR

関連記事

ID管理製品「Atlassian Crowd」に深刻な脆弱性
コロナ発生届を誤送信、FAX番号登録ミスで - 菊川市立総合病院
オープンソースの検索エンジン「OpenSearch」に脆弱性
米政府、ソフトウェアサプライチェーン保護のガイダンスを公開
「Chrome」にセキュリティアップデート - ゼロデイ脆弱性を修正
パスロジ、ファイル送受信用の暗号化サービス - 個人は無料
ファイル転送サービス「Kozutumi」を提供開始 - ハートビーツ
組織の決裁なしに公文書施行、職員を懲戒免職 - 群馬県
シングルページアプリの脆弱性診断サービスを開始 - Flatt Security
セキュ人材採用、日本は実務経験を重視 - キャリアパス提供は他国の半数以下