「ForgeRock AM」のエージェントに深刻な脆弱性 - 早急に更新を
認証やフェデレーション機能を提供する「ForgeRock Access Management」のエージェントに複数の深刻な脆弱性が明らかとなった。早急にアップデートするよう呼びかけられている。
「同Web Policy Agent 5.10.1」「同Java Policy Agent 5.10.1」および以前のバージョンに、それぞれパストラバーサルの脆弱性「CVE-2023-0339」「CVE-2023-0511」が明らかとなったもの。
同社は共通脆弱性評価システム「CVSSv3.1」のベーススコアをともに「9.1」、重要度を「クリティカル(Critical)」とレーティングしている。また米国立標準技術研究所(NIST)の脆弱性データベース「NVD」では、いずれもCVSS基本値を「9.9」と評価した。
同社では、それぞれのエージェントに修正版となる「バージョン5.10.2」を用意。できるだけ早急にアップデートを実施するよう利用者に呼びかけている。なお、「Identity Gateway」についてはこれら脆弱性の影響を受けないとしている。
(Security NEXT - 2023/03/14 )
ツイート
PR
関連記事
6月はフィッシング報告が減少、証券関連影響 - URLは増加
すかいらーく「テクアウトサイト」 - クレカ情報流出の可能性
Pythonの「tarfile」モジュールにサービス拒否の脆弱性
Apple、「macOS Sequoia 15.6」など公開 - 脆弱性87件を修正
「iOS/iPadOS 18.6」で複数脆弱性を修正 - KEV掲載済みの脆弱性も
「oauth2-proxy」に認証バイパスの脆弱性 - アップデートで修正
こども園で園児情報含む教員用資料をアプリで誤配信 - 目黒区
フォームの設定不備、WS申込者情報が閲覧可能に - 東大付属中
大阪府サイトで公開したIR資料に個人情報を誤掲載 - 大阪市
ウェブサーバにバックドア、DBの個人情報が窃取被害 - 楽待