Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

インフラ監視ソフト「Pandora FMS」にアップデート - 複数脆弱性を修正

ネットワークやサーバなどの監視機能を提供するソフトウェア「Pandora FMS」のアップデートがリリースされた。複数の脆弱性が修正されている。

現地時間6月10日にロングタイムサポート(LTS)バージョンとなる「同777」をリリースしたもの。あわせて4件の脆弱性を修正した。

具体的には、リアルタイムグラフ拡張機能において認証なしに悪用できる引数インジェクションの脆弱性「CVE-2024-35307」を修正。「Netflow」の処理におけるコマンドインジェクションが可能となる「CVE-2024-35304」に対応した。いずれもリモートよりコードを実行されるおそれがある。

また「API」において、HTTPリクエストの「Authorizationヘッダ」を悪用したタイムベースのSQLインジェクションが可能となる脆弱性「CVE-2024-35305」や、「Ajax PHPファイル」のHTTPリクエストにおいてOSコマンドインジェクションが可能となる脆弱性「CVE-2024-35306」に対処している。

共通脆弱性評価システム「CVSSv4.0」のベーススコアを見ると「CVE-2024-35307」を「9.4」、「CVE-2024-35304」を「9.3」と評価。いずれも重要度は4段階中もっとも高い「クリティカル(Critical)」とレーティングされている。

「CVE-2024-35305」については「8.9」、「CVE-2024-35306」は「8.7」と続き、重要度は1段階低い「高(High)」とした。

(Security NEXT - 2024/06/17 ) このエントリーをはてなブックマークに追加

PR

関連記事

海外出張中に個人情報含むPCが鞄ごと盗難 - ラサ工業
外来受診者の一部名簿が所在不明に - ちば県民保健予防財団
ServiceNowの「Now Platform」に深刻な脆弱性 - アップデートの実施を
「Joomla」にセキュリティアップデート - XSS脆弱性を修正
Fortinet、アドバイザリ13件を公開 - 「regreSSHion」の影響も説明
Palo Alto製品に脆弱性 - 重要度「クリティカル」も
複数のCitrix製品に「クリティカル」とされる脆弱性 - 「regreSSHion」も影響
「Cisco IOS XR」に脆弱性、「Blast-RADIUS」の影響は調査中
中間者攻撃で認証応答を偽造できる脆弱性「Blast-RADIUS」
小学校で児童の個人情報含む成績ファイルが所在不明 - 尾道市