ネットワーク監視ツール「OpenNMS」に複数の脆弱性

ネットワーク監視プラットフォーム「OpenNMS」に複数の脆弱性が明らかとなった。アップデートにて修正されている。

XML外部実体参照（XXE）の脆弱性「CVE-2023-0871」をはじめ、「REST API」における権限昇格の脆弱性「CVE-2023-0872」、リモートサーバモードの「BeanShellインタープリタ」において、コードの実行が可能になる「CVE-2023-40313」など複数の脆弱性が明らかとなったもの。

さらにクロスサイトスクリプティング（XSS）の脆弱性「CVE-2023-40311」「CVE-2023-40312」、権限昇格の脆弱性「CVE-2023-40315」なども判明している。

共通脆弱性評価システム「CVSSv3.1」のベーススコアを見ると「CVE-2023-0871」に対し、脆弱性を報告したSynopsysでは「8.8」としている。一方開発チームでは同脆弱性を「7.6」と評価。「CVE-2023-0872」を「8.2」、「CVE-2023-40313」を「7.1」としている。

開発チームは、現地時間8月9日にこれら脆弱性を修正した「OpenNMS Horizon 32.0.2」や「OpenNMS Meridian 2023.1.6」「同2022.1.19」「同2021.1.30」「同2020.1.38」をリリースしている。

（Security NEXT - 2023/08/21 ） ツイート

PR

関連記事

学校で図書の貸出情報含むUSBメモリを紛失 - 関市
海外子会社でM365に不正アクセス、スパムの踏み台に - TEIKOKU
委託業者がメール誤送信、児童の保護者のメアド流出 - 大阪市
グループ会社2社でランサム被害 - 青山財産ネットワークス
「Ivanti Neurons for ITSM」に高リスク脆弱性 - 定例外パッチを公開
まもなく「Interop Tokyo 2026」が開催 - AI時代のインフラがテーマ
「Cloud Foundry UAA」にEC秘密鍵情報が漏洩するおそれ
米当局、「Oracle WebLogic Server」既知脆弱性の悪用に警鐘
「WebSphere App Server」に複数の深刻な脆弱性 - 暫定パッチ公開
教室内で保管した小学校の児童情報含む書類が所在不明 - 大阪市