-
タグ
タグ
- アーキテクト
- アジャイル開発
- アプリ開発
- インシデントレスポンス
- イベントレポート
- カスタマーストーリー
- カルチャー
- 官民学・業界連携
- 企業市民活動
- クラウド
- クラウドインテグレーション
- クラブ活動
- コーポレート
- 広報・マーケティング
- 攻撃者グループ
- 子育て、生活
- サイバー救急センター
- サイバー救急センターレポート
- サイバー攻撃
- サイバー犯罪
- サイバー・グリッド・ジャパン
- サプライチェーンリスク
- システム開発
- 趣味
- 障がい者採用
- 初心者向け
- 白浜シンポジウム
- 情シス向け
- 情報モラル
- 情報漏えい対策
- 人材開発・教育
- 診断30周年
- スレットインテリジェンス
- すごうで
- セキュリティ
- セキュリティ診断
- セキュリティ診断レポート
- 脆弱性
- 脆弱性管理
- ゼロトラスト
- 対談
- ダイバーシティ
- テレワーク
- データベース
- デジタルアイデンティティ
- 働き方改革
- 標的型攻撃
- プラス・セキュリティ人材
- モバイルアプリ
- ライター紹介
- ラックセキュリティアカデミー
- ランサムウェア
- リモートデスクトップ
- 1on1
- AI
- ASM
- CIS Controls
- CODE BLUE
- CTF
- CYBER GRID JOURNAL
- CYBER GRID VIEW
- DevSecOps
- DX
- EC
- EDR
- FalconNest
- IoT
- IR
- JSOC
- JSOC INSIGHT
- LAC Security Insight
- NDR
- OWASP
- SASE
- Tech Crawling
- XDR
LAC Advisory No.145
デジタルペンテスト部の飯田です。
エフサステクノロジーズ株式会社が提供するサーバ管理ソフトウェア「ServerView Agents for Windows」において、一般ユーザーがSYSTEM権限で任意コードを実行できる脆弱性(CVE-2026-27788、CVE-2026-32325)を発見しました。
これらの脆弱性は一般ユーザーでのコード実行が前提条件です。本脆弱性を用いて、遠隔から直接攻撃される恐れはありませんが、他の脆弱性と組み合わせて攻撃に利用される恐れはあるため、早急に対策を行う必要があります。特に、サーバにインストールされる管理ソフトの脆弱性という性質上、悪用された場合に大きな影響が発生する可能性があるため注意が必要です。
製品開発者が販売しているサーバには当該製品が導入されている可能性があります。まずは当該製品がインストールされているかを確認し、インストールされている場合はアップデートまたは回避策を早急に実施することをおすすめします。
影響を受ける製品
- ServerView Agents for Windows V11.60.04およびそれ以前のバージョン
対策方法
製品開発者のサイトに従って最新バージョンへアップデート、または回避策を実施してください。
※ ServerView Agents for Windowsの脆弱性について - エフサステクノロジーズ
解説
当該製品はサーバの管理ソフトであり、製品開発者が販売するWindows搭載サーバに導入されている可能性があります。
CVE-2026-27788、CVE-2026-32325はどちらも管理者権限を持たない一般ユーザーがSYSTEM権限で任意コードを実行できる脆弱性です。CVSS v3 / v4 共に深刻度評価は「重要」となっており、悪用された場合に大きな影響が発生する可能性があります。
発見者
飯田 雅裕(株式会社ラック デジタルペンテスト部)
公表までの経緯
本脆弱性は、情報セキュリティ早期警戒パートナーシップに基づき、ラックからIPAに報告し、JPCERT/CCによって開発者との調整が行われました。
JVN#67883085
JVNDB-2026-000077
CVE番号
この記事をシェアする
関連記事
タグ
- アーキテクト
- アジャイル開発
- アプリ開発
- インシデントレスポンス
- イベントレポート
- カスタマーストーリー
- カルチャー
- 官民学・業界連携
- 企業市民活動
- クラウド
- クラウドインテグレーション
- クラブ活動
- コーポレート
- 広報・マーケティング
- 攻撃者グループ
- もっと見る +
- 子育て、生活
- サイバー救急センター
- サイバー救急センターレポート
- サイバー攻撃
- サイバー犯罪
- サイバー・グリッド・ジャパン
- サプライチェーンリスク
- システム開発
- 趣味
- 障がい者採用
- 初心者向け
- 白浜シンポジウム
- 情シス向け
- 情報モラル
- 情報漏えい対策
- 人材開発・教育
- 診断30周年
- スレットインテリジェンス
- すごうで
- セキュリティ
- セキュリティ診断
- セキュリティ診断レポート
- 脆弱性
- 脆弱性管理
- ゼロトラスト
- 対談
- ダイバーシティ
- テレワーク
- データベース
- デジタルアイデンティティ
- 働き方改革
- 標的型攻撃
- プラス・セキュリティ人材
- モバイルアプリ
- ライター紹介
- ラックセキュリティアカデミー
- ランサムウェア
- リモートデスクトップ
- 1on1
- AI
- ASM
- CIS Controls
- CODE BLUE
- CTF
- CYBER GRID JOURNAL
- CYBER GRID VIEW
- DevSecOps
- DX
- EC
- EDR
- FalconNest
- IoT
- IR
- JSOC
- JSOC INSIGHT
- LAC Security Insight
- NDR
- OWASP
- SASE
- Tech Crawling
- XDR