ネットワーク監視ツール「OpenNMS」に複数の脆弱性

ネットワーク監視プラットフォーム「OpenNMS」に複数の脆弱性が明らかとなった。アップデートにて修正されている。

XML外部実体参照（XXE）の脆弱性「CVE-2023-0871」をはじめ、「REST API」における権限昇格の脆弱性「CVE-2023-0872」、リモートサーバモードの「BeanShellインタープリタ」において、コードの実行が可能になる「CVE-2023-40313」など複数の脆弱性が明らかとなったもの。

さらにクロスサイトスクリプティング（XSS）の脆弱性「CVE-2023-40311」「CVE-2023-40312」、権限昇格の脆弱性「CVE-2023-40315」なども判明している。

共通脆弱性評価システム「CVSSv3.1」のベーススコアを見ると「CVE-2023-0871」に対し、脆弱性を報告したSynopsysでは「8.8」としている。一方開発チームでは同脆弱性を「7.6」と評価。「CVE-2023-0872」を「8.2」、「CVE-2023-40313」を「7.1」としている。

開発チームは、現地時間8月9日にこれら脆弱性を修正した「OpenNMS Horizon 32.0.2」や「OpenNMS Meridian 2023.1.6」「同2022.1.19」「同2021.1.30」「同2020.1.38」をリリースしている。

（Security NEXT - 2023/08/21 ） ツイート

PR

関連記事

LLMアプリ開発基盤「Dify」に複数のクリティカル脆弱性
27店舗で印鑑届の紛失が判明、誤廃棄の可能性 - 豊川信金
海外子会社にサイバー攻撃、個人情報流出の可能性 - 象印
「Apache Flink」にコードインジェクションの脆弱性 - 重要度「クリティカル」
「MongoDB」に深刻な脆弱性 - 早急な対応を強く推奨
WPS Office旧脆弱性、2020年以降の製品などにも影響
Ivanti、5月の月例アップデートを公開 - 「クリティカル」脆弱性も
「MS Edge」にセキュリティ更新 - 独自含む脆弱性76件を修正
先週注目された記事（2026年5月10日〜2026年5月16日）
米当局、「Exchange Server」ゼロデイ脆弱性に注意喚起