Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

ネットワーク監視ツール「OpenNMS」に複数の脆弱性

ネットワーク監視プラットフォーム「OpenNMS」に複数の脆弱性が明らかとなった。アップデートにて修正されている。

XML外部実体参照(XXE)の脆弱性「CVE-2023-0871」をはじめ、「REST API」における権限昇格の脆弱性「CVE-2023-0872」、リモートサーバモードの「BeanShellインタープリタ」において、コードの実行が可能になる「CVE-2023-40313」など複数の脆弱性が明らかとなったもの。

さらにクロスサイトスクリプティング(XSS)の脆弱性「CVE-2023-40311」「CVE-2023-40312」、権限昇格の脆弱性「CVE-2023-40315」なども判明している。

共通脆弱性評価システム「CVSSv3.1」のベーススコアを見ると「CVE-2023-0871」に対し、脆弱性を報告したSynopsysでは「8.8」としている。一方開発チームでは同脆弱性を「7.6」と評価。「CVE-2023-0872」を「8.2」、「CVE-2023-40313」を「7.1」としている。

開発チームは、現地時間8月9日にこれら脆弱性を修正した「OpenNMS Horizon 32.0.2」や「OpenNMS Meridian 2023.1.6」「同2022.1.19」「同2021.1.30」「同2020.1.38」をリリースしている。

(Security NEXT - 2023/08/21 ) このエントリーをはてなブックマークに追加

関連リンク

PR

関連記事

「GCP」に他テナントのリポジトリを乗っ取れる脆弱性 - 5月に修正
フィッシングURLが約4割減 - リンク使い回しも影響
ネットバンキングの不正送金件数が約1.8倍に - 被害額は半減
JPCERT/CC、オムロンPSIRTに感謝状 - 製品セキュリティ向上に貢献
iOS版「Firefox」にアップデート - 悪意あるページのPDF保存時に影響
「Django」にセキュリティ更新 - 複数の脆弱性に対応
「ServiceNow AI Platform」にRCE脆弱性 - 修正版を提供
高校で採点済み答案をグループウェアに誤掲載 - 宮城県
支援先事業者宛のメールで誤送信 - いばらき中小企業グローバル推進機構
委託先のサーバから個人情報が流出した可能性 - 韓流エンタメ会社