Zohoのアクセス管理製品にあらたな脆弱性 - 6月判明の脆弱性はすでに攻撃対象

Zohoが提供する複数のアクセス管理製品に深刻な脆弱性が明らかとなった。対象となる製品では、6月に判明した脆弱性の悪用が確認されるなど標的とされており、早急な対処が求められる。

パスワード管理機能を提供する「ManageEngine Password Manager Pro」をはじめ、特権管理製品「ManageEngine PAM360」、シングルサインオン製品「ManageEngine Access Manager Plus」にSQLインジェクションの脆弱性「CVE-2022-40300」が明らかとなったもの。

同脆弱性を悪用することで、データベースに対してクエリの実行が可能となる。同社では重要度を4段階中2番目にあたる「高（High）」とレーティングしている。

一方、米国立標準技術研究所（NIST）の脆弱性データベース「NVD」では、共通脆弱性評価システム「CVSSv3.1」において同脆弱性のベーススコアを「9.8」、重要度を「クリティカル（Critical）」と評価した。

同社では、「Password Manager Pro 12121」「PAM360 5600」「Access Manager Plus 4305」を9月10日、11日にリリースし、これら脆弱性に対処している。

（Security NEXT - 2022/10/04 ） ツイート

PR

関連記事

2026年1月開催の「JSAC2026」、参加登録がスタート
「Chrome 143」を公開 - 重要度「高」4件含む脆弱性13件に対応
「Next.js」にセキュリティアップデート - 「React」脆弱性が影響
「Apache HTTPD」にアップデート - 脆弱性5件を解消
駿河屋サイトの改ざん、監視ツールの脆弱性経由 - 侵害検知以降にも流出
「Apache bRPC」に深刻な脆弱性 - 悪意あるJSONでDoSのおそれ
仮想環境を狙うマルウェア「BRICKSTORM」 - 中国政府系攻撃者が悪用
海外子会社にサイバー攻撃、詳細を調査 - FCLコンポーネント
市内4校で端末紛失、一部で保存データが不明 - 葛飾区
入学手続き案内メールを誤送信、合格者のメアド流出 - 山口大