Ivantiは、Endpoint Manager Mobile(EPMM)に影響する2件の重大な脆弱性を開示しました。これらは攻撃者が認証なしでリモートコード実行を達成できる可能性があります。
CVE-2026-1281およびCVE-2026-1340として追跡されているこれらの欠陥はいずれもコードインジェクション問題に起因し、最大CVSS深刻度スコアは9.8で、影響を受ける導入環境に対して重大なリスクを示しています。
脆弱性の概要
両脆弱性は、脆弱なEPMMインスタンスに対して認証なしで任意のコードを実行できるようにします。
攻撃に必要なのはネットワークアクセスのみで、追加の権限やユーザー操作は不要です。
Ivantiは、開示時点ですでに限られた数の顧客が悪用を受けていることを確認しており、これらの欠陥がもたらす脅威が現在進行形であることを示しています。
注目すべき点として、脆弱性はEPMMに限定されており、Ivanti Neurons for MDMやIvanti Endpoint Manager(EPM)などのクラウドベースのソリューションを含む他のIvanti製品には影響しません。
| CVE ID | CVSSスコア | ベクター | CWE | 影響 |
|---|---|---|---|---|
| CVE-2026-1281 | 9.8(重大) | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H | CWE-94 | 認証なしRCE |
| CVE-2026-1340 | 9.8(重大) | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H | CWE-94 | 認証なしRCE |
Sentry統合を利用しているIvantiのクラウド製品を使用している顧客は、これら特定の脆弱性の影響を受けません。
複数のEPMMバージョンが脆弱であり、12.5.0.0、12.6.0.0、12.7.0.0、12.5.1.0、12.6.1.0が含まれます。
Ivantiは、各バージョントラックに対応したRPMパッチファイルをリリースしました。12.5.0.x、12.6.0.x、または12.7.0.xを実行している組織はRPM 12.x.0.xを適用する必要があり、12.5.1.0または12.6.1.0を使用している場合はRPM 12.x.1.xが必要です。パッチはダウンタイムなしでインストールでき、システム機能に影響しません。
恒久的な修正は、2026年第1四半期に予定されているEPMMバージョン12.8.0.0に含まれる予定です。
重要な点として、RPMパッチはバージョンアップグレード後も維持されません。RPM適用後にアップグレードする組織は、パッチを再インストールする必要があります。
インストールには、展開時にRPM URLへ資格情報を直接プレフィックスとして付与する必要があります。
最大限のセキュリティ態勢が求められる環境では、IvantiはEPMMアプライアンス全体を再構築し、デバイスの再登録を不要にするためにデータを移行することを推奨しています。
EPMMインフラを管理する組織は、直ちにパッチ適用を最優先すべきです。認証不要、ユーザー操作ゼロ、そして実際に悪用が確認されているという組み合わせにより、これらの脆弱性は極めて重大です。
RPMの再適用を繰り返す必要をなくすため、リリース後はバージョン12.8.0.0を早期に採用することが強く推奨されます。
翻訳元: https://gbhackers.com/ivanti-endpoint-manager-vulnerability/
