Fortinet、Ivanti、Nvidiaは火曜日、自社製品ポートフォリオ全体で十数件の高・中程度の深刻度の脆弱性に対応するセキュリティアップデートを発表しました。
Ivantiは、Endpoint Manager(EPM)における2件の高深刻度のファイル名検証不備の問題を修正しました。これらはリモートから認証なしで任意のコードを実行される可能性がありましたが、両方の脆弱性の悪用にはユーザーの操作が必要です。
さらに同社は、Connect Secure、Policy Secure、ZTA Gateways、Neurons for Secure Accessにおける5件の高深刻度および6件の中深刻度の脆弱性に対するパッチも発表しました。
最も深刻なセキュリティホールには、HTML5接続の乗っ取りにつながる認可不備、認証なしで機密操作を実行できるCSRFバグ、認証関連の設定を攻撃者が構成できてしまう認可不備などが含まれます。
パッチは、EPMバージョン2024 SU3 SR 1および2022 SU8 SR 2、Connect Secureバージョン22.7R2.9および22.8R2、Policy Secureバージョン22.7R1.5、ZTA Gatewaysバージョン22.8R2.3-723、Neurons for Secure Accessバージョン22.8R1.4に含まれています。
「これらの脆弱性が実際に悪用された証拠はありません」とIvantiはセキュリティアップデートの発表で述べています。
Fortinetは、FortiDDoSにおける中深刻度のOSコマンドインジェクションバグ(コード実行につながる可能性あり)および、FortiWebにおける中深刻度のパストラバーサル脆弱性(任意ファイルの読み取りにつながる)に対する修正を公開しました。
Nvidiaは、攻撃者が特権アカウントへアクセスしたり、制限されたコンポーネントにファイルを書き込んだり、非特権ユーザーとしてコードを実行できてしまう可能性のある、NVDebugツールの1件の高深刻度および2件の中深刻度の脆弱性に対する修正を公開しました。
広告。スクロールして続きをお読みください。
これらの問題は、コード実行、権限昇格、サービス拒否(DoS)、情報漏洩、データ改ざんなどに悪用される可能性があり、NVDebugツール バージョン1.7.0で修正されました。
FortinetもNvidiaも、これらの脆弱性が実際に悪用されたという言及はしていませんが、ユーザーにはできるだけ早くアプリケーションをアップデートすることが推奨されています。
関連記事: SAP、重大なNetWeaverの脆弱性にパッチを提供
関連記事: ICSパッチチューズデー:Rockwell Automationが8件のセキュリティアドバイザリで先導
関連記事: Androidで悪用された2件の脆弱性にパッチ
翻訳元: https://www.securityweek.com/fortinet-ivanti-nvidia-release-security-updates/