CVE-2024-41787 (CVSS 9.8): Critical IBM DOORS Next Flaw Enables Remote Code Execution
2025/01/13 SecurityOnline — IBM が発表したのは、Engineering Requirements Management DOORS Next ソフトウェアに影響を及ぼす、2件の深刻な脆弱性に関する緊急セキュリティ・アドバイザリである。この脆弱性 CVE-2024-41779/CVE-2024-41787 は、リモート・コード実行やセキュリティ・バイパスなどの、深刻なリスクをもたらすものである。
この2つの脆弱性の CVSS スコアは 9.8 であり、エンジニアリング要件管理およびシステム設計に用いられる、IBM の DOORS Next and Rhapsody Model Manager に依存する組織に対して、深刻なリスクをもたらす。IBM の速報を要約すると、以下のようになる。
CVE-2024-41787:サーブレットにおける競合状態: IBM の Engineering Requirements Management DOORS Next での競合状態により、リモート攻撃者に対して、セキュリティ制限のバイパスが許される可能性がある。特別に細工されたリクエストを送信する攻撃者は、この脆弱性の悪用を達成し、リモート・コードを実行の可能性を手にする。
CVE-2024-41779:競合状態におけるフォーマットの欠陥:IBM Engineering Systems Design Rhapsody – Model Manager 7.0.2/7.0.3 に存在する、競合状態の脆弱性を悪用するリモート攻撃者は、セキュリティ制限を回避する可能性を手にする。特別に細工されたリクエストを送信する攻撃者は、この脆弱性の悪用を達成し、リモート・コード実行の可能性を手にする。
この2つの脆弱性は、DOORS Next のバージョン 7.0.2/7.0.3 に影響するものであり、回避策や緩和策は存在しない。悪用の可能性が高いことから、速やかな対処が必要となる。
IBM がユーザーに対して強く推奨されるのは、提供されている、修正を直ちに適用することである。具体的なアクションは以下のとおりとなる:
IBM の Fix Central から、必要な修正をダウンロードすることで、これらの脆弱性に効果的に対処できる。
IBM DOORS Next の脆弱性が FIX しました。深刻度の高い脆弱性ですので、ご利用のチームは、ご注意ください。よろしければ、IBM で検索も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.