BeyondTrust、認証前の重大な脆弱性によりリモートコード実行が可能になる問題を修正
Original Title: BeyondTrust fixes critical pre-auth bug allowing remote code execution
Published (UTC): 2026-02-09T10:52:26+00:00
要旨(日本語)
・BeyondTrust の Remote Support(RS)および旧版 Privileged Remote Access(PRA)に、認証不要でRCEが可能な脆弱性 CVE-2026-1731(CVSS 9.9)が判明。
・細工したリクエストを送るだけで、ログインなし・ユーザー操作なしにサイトユーザー権限でOSコマンド実行が可能。
・影響範囲:RS 25.3.1 以前、PRA 24.3.4 以前。
・修正版:RS はパッチ BT26-02-RS または 25.3.2 以降、PRA はパッチ BT26-02-PRA または 25.1.1 以降。
・公開日:2026年2月6日。SaaS 環境には 2026年2月2日に修正が展開済みで自動的に保護。
・セルフホスト環境は自動更新無効なら手動適用が必要。古い版は対応バージョンへアップグレード後にパッチ適用が必要。
・悪用時の影響:システム乗っ取り、データ流出、サービス障害など重大な被害に直結。
・報告者:Harsh Jaiswal および Hacktron AI team。
・Hacktron 推計:公開 RS インスタンスは約11,000、そのうち約8,500がオンプレで、未パッチなら高リスク。
・主な影響組織:医療、金融、政府、ホスピタリティなど大規模組織で広く利用。
・技術詳細は当面非公開とされ、悪用が容易なため迅速なパッチ適用が強く推奨される。