Zohoのアクセス管理製品にあらたな脆弱性 - 6月判明の脆弱性はすでに攻撃対象

Zohoが提供する複数のアクセス管理製品に深刻な脆弱性が明らかとなった。対象となる製品では、6月に判明した脆弱性の悪用が確認されるなど標的とされており、早急な対処が求められる。

パスワード管理機能を提供する「ManageEngine Password Manager Pro」をはじめ、特権管理製品「ManageEngine PAM360」、シングルサインオン製品「ManageEngine Access Manager Plus」にSQLインジェクションの脆弱性「CVE-2022-40300」が明らかとなったもの。

同脆弱性を悪用することで、データベースに対してクエリの実行が可能となる。同社では重要度を4段階中2番目にあたる「高（High）」とレーティングしている。

一方、米国立標準技術研究所（NIST）の脆弱性データベース「NVD」では、共通脆弱性評価システム「CVSSv3.1」において同脆弱性のベーススコアを「9.8」、重要度を「クリティカル（Critical）」と評価した。

同社では、「Password Manager Pro 12121」「PAM360 5600」「Access Manager Plus 4305」を9月10日、11日にリリースし、これら脆弱性に対処している。

（Security NEXT - 2022/10/04 ） ツイート

PR

関連記事

ベトナム子会社でランサム被害、製造出荷に影響なし - 大日精化工業
Fortinet複数製品の認証回避脆弱性、悪用が発生 - 設定確認を
「Apache Commons Text」旧版に深刻な脆弱性 - 「FileMaker Server」に影響
「Chrome」にアップデート - 「WebGPU」「V8」の脆弱性を解消
職員アカウントが侵害、迷惑メールの踏み台に - 中部生産性本部
SAP、月例パッチで脆弱性15件を修正 - 「クリティカル」も
非常用個人情報を電車に置き忘れ、車庫で回収 - 静岡市
AppleやGladinet製品の脆弱性悪用に注意喚起 - 米当局
「iOS」にアップデート - 「WebKit」のゼロデイ脆弱性2件など修正
複数サーバやPCがランサム被害、影響など調査 - 三晃空調