IvantiがEndpoint Managerの複数の脆弱性にパッチ、リモート認証バイパスも含む
Original Title: Multiple Endpoint Manager bugs patched by Ivanti, including remote auth bypass
Published (UTC): 2026-02-11T21:13:41+00:00
要旨(日本語)
– IvantiはEndpoint Managerの脆弱性を十数件以上修正し、2025年10月に開示された問題も含めて対応。
– 高深刻度の認証バイパスCVE-2026-1603(CVSS 8.6)を修正。未認証のリモート攻撃者による保存済み資格情報の漏えいリスクがあった。
– 中程度のSQLインジェクションCVE-2026-1602(CVSS 6.5)も修正。認証済みのリモート攻撃者がデータベースから任意データを読み取れる可能性。
– これら2件の修正はEPM 2024 SU5で提供。
– Trend MicroのZDIが2024年11月にIvantiへ脆弱性を報告。悪用により権限昇格やリモートコード実行につながる恐れが指摘された。
– 公開前の時点で、これらの脆弱性を悪用した実際の攻撃は確認されていないとIvantiは説明。
– 2025年12月にはStored XSSのCVE-2025-10573(CVSS 9.6)も公表・修正。
– 当該Stored XSSはユーザー操作を要するが、未認証の攻撃者でも管理者セッションの文脈で任意のJavaScript実行が可能だった。
– Stored XSSの影響範囲はEPM 2024 SU4 SR1より前のバージョン。
– 記事はIvantiのセキュリティアドバイザリ(2026年2月および2025年12月)を根拠としている。