サイバーセキュリティ企業のTrend Micro、ESET、Tenable、Taniumは今月、製品の深刻な脆弱性を修正するアップデートをそれぞれリリースしました。
Tenableは今週、Tenable Agentに存在した深刻度クリティカルのパストラバーサルの脆弱性を修正したことを顧客に通知しました。CVE-2026-15265として追跡されているこのセキュリティホールは、攻撃者によるリモートコード実行を許してしまう可能性があります。
[ 関連記事: SonicWall、2件のゼロデイ脆弱性悪用を受けSMAパッチ適用を緊急警告 ]
ESETは火曜日、Inspect Connector for Windowsに存在する深刻度高のローカル権限昇格の脆弱性を発見し、修正したことを顧客に通知しました。
ESETはアドバイザリの中で次のように説明しています。「該当するESET製品がインストールされたシステムでは、攻撃者が独自に細工したALPC(Advanced Local Procedure Call)リクエストを、脆弱なプロセスのインターフェースに送信できる可能性があります。適切な認証や送信元検証が実施されていないため、このメッセージは受理・処理されてしまい、攻撃者が制限された機能にアクセスできる状態になっていました」
ESETはさらに、Linux向けセキュリティ製品に存在する深刻度中程度のDoS脆弱性についても別途アドバイザリを公開しています。
Taniumは先週、Tanium Serverに影響する深刻度高のDoS脆弱性について顧客に通知しました。
同社は次のように述べています。「この脆弱性により、認証されていないネットワークベースの攻撃者がTanium Serverに対してサービス拒否攻撃を実行できる可能性があります」
Trend Microは先週、Cleaner One Proのユーザーに対し、攻撃者がTrend Microの特権ファイルを削除できてしまう可能性がある深刻度高のローカル権限昇格の脆弱性について通知しました。
Palo Alto Networksも今月パッチをリリースし、自社製品における12件以上の脆弱性に対応しました。
今回の一連の脆弱性については悪用の証拠は確認されていないものの、脅威アクターがセキュリティ製品を攻撃対象として狙うことは珍しくありません。例えばPalo Alto NetworksやTrend Microは最近、実際の攻撃での悪用を確認したと発表しています。