Dell Technologies は、Wyse Management Suite(WMS)に複数の重大な脆弱性が存在することを公表しました。これらの脆弱性を悪用されると、遠隔の攻撃者が任意のコードを実行し、影響を受けるシステムを完全に掌握される恐れがあります。
セキュリティアドバイザリ DSA-2026-225 として公開されたこれらの欠陥は、WMS バージョン 5.5 HF1 より前のリリースに影響し、深刻度は「高」から「緊急」に評価されています。集中型エンドポイント管理に WMS を利用している企業環境にとって、見過ごせないリスクと言えます。
Dell Wyse Management Suite の脆弱性詳細
最も深刻な問題は CVE-2026-41120 で、CVSS スコアは 9.8 です。この脆弱性は「信頼されたデータへの不審な外部データの受け入れ」に分類されます。
低い権限しか持たない攻撃者でも、ユーザーの操作を一切必要とせずに遠隔から悪用できるため、外部に公開されている環境や設定が不適切な環境では特に危険です。
悪用に成功した場合、完全なリモートコード実行(RCE)が可能となり、攻撃者は対象サーバーを乗っ取り、悪意のあるペイロードを展開したり、ネットワーク内を横断的に移動したりできるようになります。
この脆弱性の CVSS ベクター(AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)は、悪用の容易さと、機密性・完全性・可用性への深刻な影響を端的に示しています。
もう一つの脆弱性 CVE-2026-49506 は、CVSS スコア 7.2 のパストラバーサルの欠陥です。センシティブなディレクトリへのパスアクセスに対する制限が不適切であることに起因します。
悪用には高い権限が必要ですが、リモートアクセス権を持つ認証済みの攻撃者であれば、任意のコードを実行したり、本来アクセスすべきでないディレクトリ外の機密ファイルにアクセスしたりできます。
この脆弱性も機密性・完全性・可用性(CIA トライアド)の三要素にわたって高い影響を持つことから、管理者アクセスが制限された環境であっても、パッチ適用の重要性は変わりません。
Wyse Management Suite は、Dell シンクライアントおよびエンドポイントの集中管理に広く利用されており、企業や仮想デスクトップインフラ(VDI)環境において格好の攻撃対象となっています。
これらの脆弱性が悪用されると、攻撃者はエンドポイントの設定を改ざんし、大規模にマルウェアを展開したり、企業ネットワーク内に永続的なアクセス経路を確立したりできます。WMS は集中管理の要となるシステムであるため、攻撃が成功した場合、管理下にある全デバイスに連鎖的な影響が及ぶ可能性があります。
Dell は両脆弱性に対処するバージョン 5.5 HF1 をリリースし、すべてのユーザーに対して直ちにアップグレードするよう強く推奨しています。修正済みバージョンは 2026年5月8日に公開されており、不適切なデータ処理の防止とディレクトリアクセス制御の厳格化が図られています。
セキュリティチームに対しては、アクセス制御の見直し、WMS インターフェースへのアクセスを信頼済みネットワークに限定すること、そして悪用の試みを示す不審な活動の監視も併せて推奨されています。
今回の脆弱性はセキュリティ研究者の Tien Phan 氏が責任ある開示の手続きに従って報告したものであり、Dell はその貢献を認めています。Wyse Management Suite を利用している組織は、リモートから悪用可能であること、かつ影響度が高いという組み合わせから、これらの欠陥が実際の攻撃に悪用される可能性が高いとして、本アドバイザリを緊急対応案件として扱うべきです。
翻訳元: https://gbhackers.com/critical-dell-wyse-management-suite-vulnerabilities/
