Critical CVSS 9.4 Flaw in OpenText OBM Exposes Enterprises to Privilege Escalation Risk
2025/05/18 SecurityOnline — OpenText が発表したのは、Operations Bridge Manager (OBM) ソフトウェアに存在する、2つの深刻な脆弱性 CVE-2025-3476/CVE-2025-3272 に対処する緊急セキュリティ・アドバイザリである。これらの脆弱性は、OpenText プラットフォームの複数のバージョンに影響を及ぼす。これらの脆弱性の悪用に成功した認証済のユーザーは、権限の昇格や、パスワード認証プロトコル・バイパスの可能性を得る。
Operations Bridge Manager (OBM) は、OpenText の AI Operations Management (AIOps) プラットフォームのコア・コンポーネントであり、エンタープライズ・グレードのイベント/パフォーマンス管理を提供する。このプラットフォームは、オンプレミス・システム/プライベート・クラウド/パブリック・クラウド/コンテナ化されたインフラなどの、複雑な IT 環境全体にわたる統合的な可視化を提供する。
脆弱性 CVE-2025-3476 (CVSSv4:9.4) を悪用する認証済みのユーザーは、OBM 環境内での権限昇格を達成するという。このアドバイザリには、「Operations Bridge Manager に脆弱性が検出された。この脆弱性により、認証済みユーザーによる権限昇格が可能になる」と記されている。
| Affected Version | Upgrade To | Hotfix |
|---|---|---|
| OBM 2023.05 | OBM 25.2+ | HOTFIX30746 |
| OBM 23.4 | OBM 25.2+ | HOTFIX30733 |
| OBM 24.2 | OBM 25.2+ | HOTFIX30732 |
| OBM 24.4 | OBM 25.2+ | HOTFIX30731 |
速やかなアップグレードが不可能な場合には、OpenText サポートに連絡することで、修正プログラムを要求できる。
2つ目の脆弱性 CVE-2025-3272 (CVSSv4:6.7) は、認証済みユーザーが、古いパスワードを提供することなく、パスワードをリセットできるという、深刻度 Medium の欠陥である。それにより、ユーザー認証に対するセキュリティ制御が弱体化する。
| Affected Version | Upgrade To | Hotfix |
|---|---|---|
| OBM 24.2 | OBM 25.2+ | HOTFIX30732 |
| OBM 24.4 | OBM 25.2+ | HOTFIX30731 |
OpenText OBM に複数の脆弱性とのことですが、CVE-2025-3476 は、CVSSv4 値が 9.4 の深刻なものです。悪用されると権限昇格や、パスワードのリセットなどに至る恐れがあるとのことです。ご利用のチームは、アップデートを忘れないよう、ご注意ください。よろしければ、OpenText で検索も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.