Ivanti製モバイル管理製品「Avalanche」に深刻な脆弱性 - 一部PoCが公開済み
Ivantiが提供するモバイルデバイスの管理ソリューション「Avalanche」に複数の脆弱性が明らかとなった。深刻な脆弱性も複数含まれており、一部はすでに詳細が公開されている。
同社はセキュリティアドバイザリを公開し、「同6.4.3」において27件の脆弱性に対処したことを明らかにしたもの。脆弱性へ対処するため、最新版にアップデートするよう強く推奨した。
なかでも、認証なしにリモートよりコマンドの実行が可能となるヒープオーバーフローの脆弱性「CVE-2024-24996」「CVE-2024-29204」は、共通脆弱性評価システム「CVSSv3」のベーススコアがともに「9.8」と高い。
さらにCVSS基本値が「8.8」とされる脆弱性12件を含む脆弱性13件が8点台、4件についても7点台と評価されている。
Ivantiでは協調的に脆弱性を解消し、アドバイザリを公開した現地時間4月16日の時点で悪用は確認されていないと説明しているが、「CVE-2024-29204」については、翌17日に脆弱性の報告者であるTenableより概念実証(PoC)が公開されており、注意が必要となる。
今回修正された脆弱性は以下のとおり。
CVE-2024-22061
CVE-2024-23526
CVE-2024-23527
CVE-2024-23528
CVE-2024-23529
CVE-2024-23530
CVE-2024-23531
CVE-2024-23532
CVE-2024-23533
CVE-2024-23534
CVE-2024-23535
CVE-2024-24991
CVE-2024-24992
CVE-2024-24993
CVE-2024-24994
CVE-2024-24995
CVE-2024-24996
CVE-2024-24997
CVE-2024-24998
CVE-2024-24999
CVE-2024-25000
CVE-2024-27975
CVE-2024-27976
CVE-2024-27977
CVE-2024-27978
CVE-2024-27984
CVE-2024-29204
(Security NEXT - 2024/04/22 )
ツイート
PR
関連記事
教員採用選考受検者の自己申告用紙が所在不明に - 新潟県
他県で実施した中学校自然教室で生徒名簿が所在不明に - 横浜市
誤った住所へ会員証を送付、システムトラブルで - JAF
Salesforceのローコード開発ツールに脆弱性 - 設定リスクの指摘も
構成管理ツール「Salt」に複数脆弱性 - 「クリティカル」も
MDMサーバから従業員情報流出、削除データも - ジブラルタ生保
「Kibana」に深刻な脆弱性 - 「Chromium」の既知脆弱性に起因
ファッション通販サイトに不正アクセス、通知メールが送信
サイバー攻撃で元従業員情報が流出した可能性 - クミアイ化学工業
「IBM i」のFAX機能に権限昇格の脆弱性 - 修正パッチを提供
