Symantec PAM Patches Critical Security Flaw – CVE-2025-24503 (CVSSv4 9.3)
2025/02/05 SecurityOnline — Symantec がリリースした Privileged Access Manager (PAM) のバージョン 4.2.1 は、複数のセキュリティ脆弱性に対処するためのものだ。これらの脆弱性が悪用されると、リモート・コード実行やセッション乗っ取りなどが生じる可能性がある。
特権アカウントの管理/保護ソリューションである、Symantec PAM のバージョン 4.2.1 では、8つの脆弱性が修正されている。これらの脆弱性の悪用に成功した攻撃者は、機密情報への不正アクセスや、影響を受けるシステムの制御などの可能性を手にする。
今回のリリースで修正された脆弱性の詳細は、以下の通りである:
- CVE-2025-24500 (CVSSv4:8.7) SQL インジェクションの脆弱性
未認証の攻撃者に、PAM データベース内の情報へのアクセスをゆるす可能性がある。 - CVE-2025-24501 (CVSSv4:5.3) 入力検証バイパスの脆弱性
未認証の攻撃者に、 PAM ログの改ざんをゆるす可能性がある。 - CVE-2025-24502 (CVSSv4:5.3) セッション乗っ取りの脆弱性
未認証の攻撃者は、不正なユーザーのコンテキストでリクエスト通知を実行する可能性を手にする。 - CVE-2025-24503 (CVSSv4:9.3) CSRF (cross-site request forgery) 脆弱性
攻撃者は、PAM ユーザーのセッションを乗っ取る可能性を手にする。 - CVE-2025-24504 (CVSSv4:5.3) 入力の不適切な検証の脆弱性
入力が適切に検証されない状況での、アプリケーション・ログへの書き込みが生じる。 - CVE-2025-24505 (CVSSv4:8.8) リモート・コード実行の脆弱性
高特権の認証済み攻撃者に、影響を受けるシステム上でのコマンドの実行をゆるす可能性がある。 - CVE-2025-24506 (CVSSv4:5.3):情報収集の脆弱性
攻撃者に、PAM ユーザーの ID の取得をゆるす可能性がある。 - CVE-2025-24507 (CVSSv4:8.9) OS コマンド・インジェクションの脆弱性
攻撃者に、ブート時のアプライアンス侵害をゆるす可能性がある。
Symantec PAM ユーザーに推奨されるのは、可能な限り早急にバージョン 4.2.1 へとアップデートし、これらの脆弱性の悪用リスクを軽減することである。
Symantec PAM の、8件の脆弱性 が FIX しました。これらの脆弱性が悪用されると、リモート・コード実行やセッション乗っ取りが生じる可能性があるとのことです。ご利用のチームは、ご注意ください。よろしければ、Symantec で検索も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.