概要
Ivanti Endpoint Manager Mobile(EPMM)に コードインジェクション(CWE-94)による 認証 なし リモートコード実行 の 脆弱性 が 報告 されています。CVSS 9.8 の Critical 評価 で、CISA の Known Exploited Vulnerabilities(KEV)カタログ に 追加 されており、実際 の 攻撃 で の 悪用 が 確認 されています。
Ivanti EPMM は エンタープライズ 向け の モバイルデバイス 管理(MDM)プラットフォーム で、企業 の モバイル端末 の 構成管理 や セキュリティ ポリシー の 適用 に 使用 されます。本 脆弱性 は 認証 なし で ネットワーク 経由 から 攻撃 可能 な ため、EPMM が インターネット に 公開 されている 環境 では 特に 深刻 です。
本 CVE は CVE-2026-1281 と 同時 に 公開 されており、Ivanti の セキュリティ アドバイザリ で まとめて 対応 が 案内 されています。CISA KEV 入り している ことから、米国 連邦政府機関 では BOD 22-01 に 基づく 対応 期限 が 設定 されています。日本国内 の 組織 でも 同等 の 緊急度 で 対応 を 推奨 します。
CVSSベクトル
| 項目 | 値 |
|---|---|
| CVSS v3 スコア | 9.8 (Critical) |
| 攻撃元区分 (AV) | ネットワーク |
| 攻撃条件の複雑さ (AC) | 低 |
| 必要な特権 (PR) | なし |
| ユーザー関与 (UI) | なし |
| 影響範囲 (S) | 変更なし |
| 機密性への影響 (C) | 高 |
| 完全性への影響 (I) | 高 |
| 可用性への影響 (A) | 高 |
影響を受けるソフトウェア
- 製品名: Ivanti Endpoint Manager Mobile (EPMM)
- ベンダー: Ivanti
- 影響バージョン: Ivanti の セキュリティ アドバイザリ を 参照 してください
- 用途: エンタープライズ モバイルデバイス 管理(MDM)
修正バージョンと回避策
- Ivanti の セキュリティ アドバイザリ に 従い、修正版 へ アップデート してください
- CISA KEV 入り の ため、米国 連邦機関 では BOD 22-01 に 基づく 対応 期限 が 設定 されています
- アップデート が 困難 な 場合 の 緩和策:
- EPMM へ の ネットワーク アクセス を VPN や IP 制限 で 限定 する
- WAF(Web Application Firewall)で 不正 な リクエスト パターン を フィルタ する
- EPMM の アクセスログ を 確認 し、不審 な アクセス が ないか 調査 する
関連リンク
データソース: NVD (NIST), CISA AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。