Ivantiは火曜日にNeurons for ITSMをアップデートし、オンプレミスとクラウドの両デプロイに影響する2つの中程度の重大度の脆弱性を解決しました。
最初のバグはCVE-2026-4913(CVSSスコア 5.7)として追跡されており、代替パスの不適切な保護として説明されています。
Ivantiによると、「リモートの認証済み攻撃者が自分のアカウントが無効化されたときにアクセスを保持することができる」可能性があります。
2番目の欠陥であるCVE-2026-4914(CVSSスコア 5.4)は、保存型クロスサイトスクリプティング(XSS)の問題として説明されており、他のユーザーセッションから限定的な情報を取得するためにリモートで悪用される可能性があります。
この脆弱性の成功した悪用には認証とユーザーの相互作用が必要であると、Ivantiは勧告で述べています。
両方の脆弱性はIvanti Neurons for ITSM バージョン2025.4で解決されました。ユーザーはできるだけ早くデプロイを更新することをお勧めします。
「クラウドソリューションを使用している顧客の場合、修正が2025年12月12日にすべてのクラウド環境に適用されたため、アクションは不要です」とIvantiは述べています。
同社は、これらの脆弱性がいずれも野生で悪用されていることを認識していません。他のIvantiプロダクトは影響を受けません。
火曜日に、Ivantiは2026年2月に開示された2つのOpenSSHの欠陥であるCVE-2025-26465とCVE-2025-26466に関する勧告を更新しました。Ivanti EPMM、Sentry、およびConnectorはこれら2つのバグの影響を受けませんが、更新されたOpenSSHバージョンは将来のリリースに含まれると同社は述べています。
翻訳元: https://www.securityweek.com/two-vulnerabilities-patched-in-ivanti-neurons-for-itsm/
