Dell Technologiesは、Wyse Management Suite(WMS)に存在する2件の脆弱性を公開しました。深刻度は「重大(Critical)」から「高(High)」に分類されており、リモートの攻撃者が影響を受けるシステム上で任意のコードを実行できる可能性があります。
CVE-2026-41120およびCVE-2026-49506として追跡されているこれらの脆弱性は、バージョン5.5 HF1より前のすべてのWMSに影響し、2026年6月16日に公式に開示されました。
2件のうちより深刻なCVE-2026-41120は、CVSSベーススコア9.8(Critical)を持ち、ベクター文字列はCVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:Hです。
この脆弱性は、WMSにおける「信頼済みデータへの不正な外部データの受け入れ(Acceptance of Extraneous Untrusted Data With Trusted Data)」という欠陥に起因しています。つまり、アプリケーションが正規の入力と一緒に送り込まれた悪意あるデータを適切に検証せず、信頼してしまうという問題です。
この脆弱性が特に危険な理由は、その攻撃プロファイルにあります。認証不要、ユーザーの操作不要、特別な条件も不要で悪用可能です。
リモートネットワークアクセスさえ持つ低権限の攻撃者でも、リモートコード実行を引き起こすことができ、WMSサーバーおよびその管理下にあるすべてのエンドポイントを完全に制御される恐れがあります。
2件目の脆弱性CVE-2026-49506は、CVSSスコア7.2(High)で、ベクターはCVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:Hです。これは、ディレクトリ制限の不適切な実装、いわゆるパストラバーサル脆弱性に分類されています。
この脆弱性の悪用には高い権限を持つリモートアクセスが必要ですが、悪用に成功した場合はやはりリモートコード実行が可能となり、機密性・完全性・可用性のすべてに深刻な影響を及ぼします。
Dellによると、このようなパストラバーサルの欠陥は、認証情報の窃取や権限昇格技術と組み合わせて悪用されるケースが多く、実際の攻撃シナリオでは悪用の難易度がさらに下がる可能性があります。
Dell Wyse Management Suiteは、シンクライアントやクラウドデスクトップを集中管理するために広く使われているエンタープライズ向けエンドポイント管理プラットフォームです。今回の2件の脆弱性は、バージョン5.5 HF1より前のすべてのWMSに影響します。
Dellは、両脆弱性を責任を持って報告したセキュリティ研究者のTien Phan氏に謝意を表明しています。CVE-2026-41120は認証なしで悪用可能なため、Wyse Management Suiteを利用している組織は早急なパッチ適用を優先してください。
また、セキュリティチームは、パッチ提供前の露出期間中に不審なアクティビティがなかったか、WMSサーバーのアクセスログを精査することも推奨されます。
翻訳元: https://cyberpress.org/dell-wyse-management-suite-flaws/
