概要
Ivanti Sentryに存在する認証バイパス脆弱性(CWE-288)です。認証なしのリモート攻撃者が任意の管理者アカウントを作成し、製品への完全な管理者アクセスを取得できます。CVSSスコアは9.9で、同日公開されたOSコマンドインジェクション(CVE-2026-10520、CVSS 10.0)と組み合わせて悪用された場合、システム全体の完全制御につながる恐れがあります。
CVSSベクトル
| 要素 | 値 | 説明 |
|---|---|---|
| Attack Vector | Network | ネットワーク経由で攻撃可能 |
| Attack Complexity | Low | 特別な条件不要 |
| Privileges Required | None | 認証不要 |
| User Interaction | None | ユーザー操作不要 |
| Scope | Changed | 影響範囲の拡大あり |
| Confidentiality | High | 機密情報の完全漏洩 |
| Integrity | High | データの完全改ざん |
| Availability | High | サービス完全停止 |
影響を受けるソフトウェア
| 製品 | 影響バージョン | 修正バージョン |
|---|---|---|
| Ivanti Sentry | R10.5.x(R10.5.2未満) | R10.5.2 |
| Ivanti Sentry | R10.6.x(R10.6.2未満) | R10.6.2 |
| Ivanti Sentry | R10.7.x(R10.7.1未満) | R10.7.1 |
修正バージョンと回避策
修正バージョン: R10.5.2、R10.6.2、R10.7.1 以降へアップデートすることを推奨します。
回避策: 管理インターフェースへのアクセスを信頼済みIPアドレスのみに制限することで被害範囲を限定できますが、根本的な解決にはパッチ適用が必要です。
関連リンク
データソース: NVD (NIST), JVN iPedia (IPA/JPCERT/CC) AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。