ITインフラ監視ツール「Pandora FMS」に複数の脆弱性
Artica PFMSが提供するITインフラの監視ソフトウェア「Pandora FMS」において、複数の脆弱性が明らかとなった。アップデートが提供されている。
同製品のウェブコンソールにおいて2件の脆弱性「CVE-2024-9987」「CVE-2024-35308」が明らかとなったもの。
「CVE-2024-9987」は、認証後に「CSV」を扱う拡張機能のパラメータで「SQLインジェクション」が可能となる脆弱性。データベースを不正に操作されるおそれがある。
さらにパストラバーサルの脆弱性「CVE-2024-35308」が判明した。悪用には認証が必要となるが、ウェブ管理画面のプラグインセクションにおいて任意のファイルを読み取ることが可能だという。
Artica PFMSでは、共通脆弱性評価システム「CVSSv4.0」のベーススコアを「CVE-2024-9987」が「8.6」、「CVE-2024-35308」が「8.3」と評価。いずれも重要度は4段階中、上から2番目にあたる「高(High)」とレーティングしている。
長期サポートバージョン(LTS)向けにパッチ「同777.3」がリリースされており、バグなどとともにこれら脆弱性を修正している。
(Security NEXT - 2024/10/25 )
ツイート
PR
関連記事
課税調査中に個人情報含む資料を紛失 - 京都市
自治体向け資料に個人情報、図関連データとして内包 - 兵庫県
事務局内情報共有サイト、アクセス制限なく情報流出 - 岩手県
中等教育学校で受験生資料含むUSBメモリを紛失 - 新潟県
「WatchGuard Firebox」に脆弱性 - ゼロデイ攻撃が発生、更新や痕跡調査を
不正アクセスでトップページ改ざん、外部サイトへ遷移 - 文字起こしサービス会社
図書館サーバからスパム送信、更新時の未承認設定変更が影響 - 岡山県
まもなく年末年始、長期休暇前にセキュリティ総点検を
「Apache StreamPark」に暗号化などの脆弱性3件が判明
「OpenShift GitOps」に権限昇格の脆弱性 - クラスタ掌握のおそれ
