ITインフラ監視ツール「Pandora FMS」に複数の脆弱性

Artica PFMSが提供するITインフラの監視ソフトウェア「Pandora FMS」において、複数の脆弱性が明らかとなった。アップデートが提供されている。

同製品のウェブコンソールにおいて2件の脆弱性「CVE-2024-9987」「CVE-2024-35308」が明らかとなったもの。

「CVE-2024-9987」は、認証後に「CSV」を扱う拡張機能のパラメータで「SQLインジェクション」が可能となる脆弱性。データベースを不正に操作されるおそれがある。

さらにパストラバーサルの脆弱性「CVE-2024-35308」が判明した。悪用には認証が必要となるが、ウェブ管理画面のプラグインセクションにおいて任意のファイルを読み取ることが可能だという。

Artica PFMSでは、共通脆弱性評価システム「CVSSv4.0」のベーススコアを「CVE-2024-9987」が「8.6」、「CVE-2024-35308」が「8.3」と評価。いずれも重要度は4段階中、上から2番目にあたる「高（High）」とレーティングしている。

長期サポートバージョン（LTS）向けにパッチ「同777.3」がリリースされており、バグなどとともにこれら脆弱性を修正している。

（Security NEXT - 2024/10/25 ）ツイート