出典: Security NEXT – https://www.security-next.com/180369
「Ivanti EPMM」にゼロデイ脆弱性、悪用確認 – パッチ適用や侵害調査を
「Ivanti EPMM」にゼロデイ脆弱性、悪用確認 – パッチ適用や侵害調査を
Ivantiは、モバイルデバイス管理製品「Ivanti Endpoint Manager Mobile(EPMM)」に関する深刻な脆弱性を明らかにした。すでに悪用が確認されている。
同社は現地時間2026年1月29日、セキュリティアドバイザリを公開し、組織内部に対するアプリケーションの配布機能やAndroidのファイル転送設定機能に関連したコードインジェクションの脆弱性2件「CVE-2026-1281」「CVE-2026-1340」について明らかにした。
同社は侵害が確認された利用者は少数としつつも、すでに脆弱性が悪用されていると説明。セキュリティアップデートを早急にインストールするよう強く求めた。
いずれも入力値の検証が不十分であることに起因。ネットワーク経由で細工したリクエストを送信することで、認証を必要とすることなくリモートから任意のコードを実行できる。侵害後は管理するモバイルデバイスに関する機密情報を窃取されたり、組織内部でラテラルムーブメントが展開されるおそれもある。
共通脆弱性評価システム「C
