Ivanti複数製品に深刻な脆弱性、概念実証も - アドバイザリが公開

IT資産の管理機能などを提供する「Ivanti Neurons for ITSM」では2件の脆弱性「CVE-2024-7569」「CVE-2024-7570」が明らかとなった。いずれも「OIDC認証」を利用している場合に影響がある。

「CVE-2024-7569」は、認証なしにデバッグ情報経由でクライアントのシークレットを取得できる情報漏洩の脆弱性。

また「CVE-2024-7570」では、マンインザミドル（MITM）攻撃でトークンを作成し、任意のユーザーとしてアクセスが可能となるという。

「CVE-2024-7569」は、CVSS基本値を「9.6」、重要度が「クリティカル（Critical）」とレーティングされている。「CVE-2024-7570」はCVSS基本値を「8.3」、重要度を「高（High）」とした。

外部より協調的に報告を受けたとしており、これら脆弱性の悪用などは確認されていない。同社は脆弱性を修正するパッチを提供している。

（Security NEXT - 2024/08/14 ） ツイート

PR

関連記事

特権コマンド実行ツール「sudo」に重要度「クリティカル」の脆弱性
【特別企画】専門家13人が「生成AI時代」のセキュリティを多角的に解説
学童保育で利用料決定通知書1クラス分が所在不明に - 和歌山市
個人情報残存する「就職先情報リスト」を学生に共有 - 摂南大
法人の不正送金被害が約8.6倍 - 金額ベースで個人を上回る
テゲ宮崎の通販サイト、管理ページが認証なしで閲覧可能に
サイバー攻撃でシステム障害が発生 - ヤマダコーポレーション
「IBM WebSphere Application Server」にRCE脆弱性 - 暫定パッチ公開
先週注目された記事（2025年6月22日〜2025年6月28日）
「MS Edge」にアップデート - 固有の脆弱性などにも対処