Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

「ManageEngine」24製品に深刻な脆弱性 - 悪用容易、アップデートを

Zohoが提供するIT運用管理製品シリーズ「ManageEngine」にリモートよりコードの実行が可能となる脆弱性が明らかとなった。対象製品は多岐にわたり、悪用も容易なことから利用者は早急に対処することが求められる。

同製品の依存関係にある「Apache Santuario」に起因し、認証なしにリモートよりコードの実行が可能となる脆弱性「CVE-2022-47966」が明らかとなったもの。

「SAML」によるシングルサインオンを有効化している場合に悪用されるおそれがある。また製品によっては、無効化していても過去に有効化したことがある場合、影響を受ける。

対象製品は、「ManageEngine ADManager Plus」「ManageEngine Application Control Plus」「ManageEngine Password Manager Pro」「ManageEngine Asset Explorer」「ManageEngine ServiceDesk Plus」など24製品にのぼる。

同社では、脆弱性の重要度を「クリティカル(Critical)」とレーティング。共通脆弱性評価システム「CVSSv3.1」のベーススコアについては示していない。

(Security NEXT - 2023/01/18 ) このエントリーをはてなブックマークに追加

PR

関連記事

「ESXiArgs」対策で製品の更新やOpenSLPの無効化を呼びかけ - VMware
メール誤送信でキャンペーン参加事業者のメアド流出 - 三重県
し尿収集業者が収集申込者の個人情報を紛失 - 広島市
2月3日ごろより「VMware ESXi」のランサム被害急増- 国内でも発生か
市立保育所で児童の個人情報含むUSBメモリが所在不明 - 赤穂市
「ビックカメラ」を装うフィッシング攻撃に注意を
QNAP製品のファームウェアに深刻な脆弱性 - 対象は限定的
「Cisco ISE」の脆弱性、順次パッチ提供 - リリース後は悪用コードが利用可能に
点訳ボランティア宛の案内メールで誤送信 - 堺市の指定管理者
広告業務の委託先で電子媒体を紛失 - 国交省