概要
Ivanti Sentry(旧MobileIron Sentry)に存在するOSコマンドインジェクション脆弱性です。認証なしのリモート攻撃者が特定のHTTPリクエストを送信することで、rootレベルのリモートコード実行(RCE)が可能となります。CVSSスコアは最高値の10.0で、同日公開された認証バイパス脆弱性(CVE-2026-10523)と組み合わせることで被害がさらに拡大するリスクがあります。
CVSSベクトル
| 要素 | 値 | 説明 |
|---|---|---|
| Attack Vector | Network | ネットワーク経由で攻撃可能 |
| Attack Complexity | Low | 特別な条件不要 |
| Privileges Required | None | 認証不要 |
| User Interaction | None | ユーザー操作不要 |
| Scope | Changed | 影響範囲の拡大あり |
| Confidentiality | High | 機密情報の完全漏洩 |
| Integrity | High | データの完全改ざん |
| Availability | High | サービス完全停止 |
影響を受けるソフトウェア
| 製品 | 影響バージョン | 修正バージョン |
|---|---|---|
| Ivanti Sentry | R10.5.x(R10.5.2未満) | R10.5.2 |
| Ivanti Sentry | R10.6.x(R10.6.2未満) | R10.6.2 |
| Ivanti Sentry | R10.7.x(R10.7.1未満) | R10.7.1 |
修正バージョンと回避策
修正バージョン: R10.5.2、R10.6.2、R10.7.1 以降へアップデートすることを推奨します。
回避策: 一時的な回避策として、不審な送信元からのHTTPアクセスをファイアウォールでブロックすることが考えられますが、根本的な解決にはパッチ適用が必要です。
関連リンク
データソース: NVD (NIST), JVN iPedia (IPA/JPCERT/CC) AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。