認証サーバ「ForgeRock AM」に認証バイパスの脆弱性

認証やフェデレーション機能を提供する「ForgeRock Access Management」に深刻な脆弱性が明らかとなった。

認証のバイパスが可能となる脆弱性「CVE-2022-3748」が明らかとなったもの。脆弱性を悪用されるとユーザーアカウントのなりすましや乗っ取りなどが可能になるという。「同7.2.0」および以前のバージョンに存在し、サポートされていないバージョンも影響を受けるおそれがある。

同社では、現地時間4月13日にアドバイザリを公表。共通脆弱性評価システム「CVSSv3.1」のベーススコアは「9.8」、重要度を「クリティカル（Critical）」としている。

同社では、4月4日にリリースした「同7.3」「同7.2.1」へ更新するか、2月10日より前に「パッチ202207」を適用している場合は同パッチを削除し、「パッチ202301」に置き換えるよう求めている。

（Security NEXT - 2023/04/26 ） ツイート

PR

関連記事

世論調査対象者の個人情報を紛失 - NHK
フィッシング対策GLを改訂 - 要件から「EV証明書」の記載削除
「じゃらん」を装うフィッシング - 「旅行支援金」口実に誘導
「MOVEit Transfer」の脆弱性、脅迫グループが悪用か
チーム向けパスワード管理ツール「TeamPass」に脆弱性
「MOVEit Transfer」にゼロデイ脆弱性 - 侵害状況も確認を
福島原発事故の追加賠償に関する請求書を誤送付 - 東電
講座受講者宛のメールで「CC」送信 - 八代市
個人情報含む手帳を紛失、3月にも - 室蘭総合病院
「Apache Tomcat」に脆弱性 - 過去の修正が不完全で