出典: Security NEXT – https://www.security-next.com/179728
金融向けカード発行システム「Entrust IFI」に深刻な脆弱性
金融向けカード発行システム「Entrust IFI」に深刻な脆弱性
Entrustが提供しているカード発行システム「Entrust Instant Financial Issuance(旧CardWizard)」に脆弱性が明らかとなった。
オンプレミス版において「SmartCardController」サービスに実装されている「.NET Remoting」において、信頼できないデータをデシリアライズする脆弱性「CVE-2026-23746」が確認された。
安全ではない設定のTCPリモーティングチャネルが登録されており、リモートよりサーバのポートへアクセスできる場合、認証を必要とすることなく、信頼されていないリモートオブジェクトを呼び出すことが可能。
任意のファイルを読み取ったり、外部サービスに対する認証を強制することができる。さらにファイルの書き込みやコードの実行なども可能となり、情報漏洩やホストの侵害につながるおそれもある。
CVE番号を採番したVulnCheckでは、共通脆弱性評価システム「CVSSv4.0」のベーススコアを「9.3」、重要度を4段階中もっとも高い「クリティカル(C
