Ivanti、5月の月例アップデートを公開 - 「クリティカル」脆弱性も

また「Ivanti Secure Access Client」では、競合状態によりSYSTEM権限へ昇格できる「CVE-2026-7432」、権限設定の不備によりログデータの読み取りや改ざんが可能となる「CVE-2026-7431」を修正している。

「Ivanti Virtual Traffic Manager」では、管理者権限を持つ認証済みのリモート攻撃者により、OSコマンドインジェクションを通じてコード実行が可能となる「CVE-2026-8051」が判明した。

CVSS基本値が「8.8」とされる「CVE-2026-8111」をはじめ、「CVE-2026-8110」「CVE-2026-7432」「CVE-2026-8051」については重要度が2番目に高い「高（High）」とされている。

同社は修正版として「Ivanti Xtraction 2026.2」「Ivanti EPM 2024 SU6」「Ivanti Secure Access Client 22.8R6」「Ivanti Virtual Traffic Manager 22.9r4」を用意。利用者にアップデートを呼びかけている。

なお、Ivantiでは今回のアップデートに先立ち、現地時間2026年5月7日にモバイル端末管理製品「Ivanti Endpoint Manager Mobile（EPMM）」に関するセキュリティアドバイザリを公開していた。一部脆弱性が悪用されていることを明らかにしており、あらためて注意したい。

（Security NEXT - 2026/05/18 ） ツイート

PR

関連記事

「MS Edge」にセキュリティ更新 - 独自含む脆弱性76件を修正
米当局、「Exchange Server」ゼロデイ脆弱性に注意喚起
米当局、「Cisco SD-WAN」の脆弱性悪用で緊急対応を要請
「PHP」に複数の「クリティカル」脆弱性 - アップデートで解消
エレコム製ルーターなどに複数脆弱性 - 21モデルに影響
スマホ向け「Microsoft Authenticator」、トークン漏洩のおそれ
「Exchange Server」に脆弱性 - すでに悪用を確認、パッチは準備中
Linuxカーネルにローカル権限昇格の脆弱性「Fragnesia」
Hitachi Vantaraのデータ統合分析基盤「Pentaho」に深刻な脆弱性
「VMware Fusion」に権限昇格の脆弱性 - 修正版を公開