Ivanti複数製品に深刻な脆弱性、概念実証も - アドバイザリが公開
IT資産の管理機能などを提供する「Ivanti Neurons for ITSM」では2件の脆弱性「CVE-2024-7569」「CVE-2024-7570」が明らかとなった。いずれも「OIDC認証」を利用している場合に影響がある。
「CVE-2024-7569」は、認証なしにデバッグ情報経由でクライアントのシークレットを取得できる情報漏洩の脆弱性。
また「CVE-2024-7570」では、マンインザミドル(MITM)攻撃でトークンを作成し、任意のユーザーとしてアクセスが可能となるという。
「CVE-2024-7569」は、CVSS基本値を「9.6」、重要度が「クリティカル(Critical)」とレーティングされている。「CVE-2024-7570」はCVSS基本値を「8.3」、重要度を「高(High)」とした。
外部より協調的に報告を受けたとしており、これら脆弱性の悪用などは確認されていない。同社は脆弱性を修正するパッチを提供している。
(Security NEXT - 2024/08/14 )
ツイート
関連リンク
PR
関連記事
奨学生交流サイトに不正アクセス、個人情報が流出か - 大塚敏美育英奨学財団
水道メーター工事名簿が一時所在不明に - 高齢者が持ち帰る
GMO-PG、多要素認証による本人確認サービスを開始
公募出演者への事務連絡メールで誤送信 - さいたま芸術劇場
57年分の卒業証書授与台帳を紛失 - 都立特別支援学校
事故調査会社がランサム被害 - 委託元の損保などに影響
ランサム被害、BF攻撃で乗っ取られた再委託先PC経由で - CTC
「Jenkins」のコアやプラグインに複数の脆弱性
OTPに利用される「OATH Toolkit」に権限昇格の脆弱性
運用監視ツール「Cacti」に複数の脆弱性 - アップデートで解消