Ivanti Neurons for ITSM Vulnerabilities Allow Remote Attacker to Obtain User Sessions
2026/04/14 CyberSecurityNews ‐‐‐ Ivanti が公開したのは、オンプレミス型 IT サービス・マネジメント・プラットフォーム Ivanti Neurons for ITSM (N-ITSM) に存在する、2 件の脆弱性 CVE-2026-4913/CVE-2026-4914 (Medium) に対処するセキュリティ・アップデートである。これらの脆弱性を悪用する認証済みのリモート攻撃者は、侵入後のアクセス維持/他ユーザーのセッション・データの取得を可能にする。
同社によると、公開時点において、いずれの脆弱性も実際に悪用された証拠は確認されていない。これらの問題は、責任ある開示プログラムを通じて報告され、バージョン 2025.4 にて修正されている。
CVE-2026-4913:不適切なパスに対する防御の欠落
CVE-2026-4913 は CVSS スコア 5.7 (Medium) と評価されており、CWE-424 (保護メカニズムの不備/失敗) に分類される。この脆弱性は Ivanti N-ITSM 2025.4 未満のバージョンにおける、代替パスの保護不備に起因する。
この脆弱性を悪用する認証済みリモート攻撃者は、管理者によりアカウントが無効化された後であっても、システムへのアクセスを維持できる。 この種のバイパスは、特にエンタープライズ環境において深刻であり、インサイダー脅威のインシデント対応や、従業員退職時のアクセス権剥奪が重要となる状況で重大なリスクとなる。
この脆弱性は、ネットワーク経由で到達可能であり、低権限での悪用が可能であるが、ユーザー操作を必要とするため深刻度は Medium と評価されている。
CVE-2026-4914:蓄積型 XSS によるクロス・セッション・データ窃取
CVE-2026-4914 は CVSS スコア 5.4 (Medium) と評価されている、蓄積型クロスサイト・スクリプティング (XSS) 脆弱性であり、CWE-79 に分類される。Ivanti N-ITSM 2025.4 未満のバージョンにおいて、悪意のスクリプトを注入する認証済みリモート攻撃者が、他ユーザーのセッション・コンテキストで実行させる可能性が生じる。
この脆弱性により、セッション・トークン/認証情報/機密性の高い ITSM データなどの情報が窃取される可能性がある。
攻撃の成立にはユーザー操作を要するため、悪意のコンテンツへと被害者を誘導する必要がある。また CVSS ベクターの Scope: Changed (S:C) が示す通り、影響は単一セッションを超えて拡大する可能性がある。
影響範囲と対策
これらの脆弱性は、Ivanti Neurons for ITSM バージョン 2025.3 以下に影響し、オンプレミス/クラウド環境が対象となる。オンプレミス環境のユーザーは、Ivanti License System (ILS) から提供されるバージョン 2025.4 への手動アップグレードが必要となる。その一方で、クラウド環境については、2025年12月12日の時点で Ivanti が全環境を修正しているため、ユーザー側の対応は不要である。
オンプレミス・ユーザーに対して Ivanti が強く推奨するのは、バージョン 2025.4 への即時アップデートである。現時点では、侵害指標が公開されていないが、特にアクセス維持リスクを伴う CVE-2026-4913 の特性を踏まえ、旧バージョンを使用する組織はアップグレードを最優先の事項として実施すべきである。
訳者後書:1 つ目の脆弱性 CVE-2026-4913 は、システム内の代替パスに対する不十分な防御に起因します。これにより、本来はアクセスできない経路から、認証状態を維持されてしまうリスクが生じました。2 つ目の脆弱性 CVE-2026-4914 は、蓄積型 XSS の脆弱性です。入力データに対する不適切な検証や無害化により、悪意のスクリプトが保存され、他ユーザーのセッション情報を盗み見られる状態になっていました。ご利用のチームは、ご注意ください。よろしければ、Ivanti での検索結果も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.