-
タグ
タグ
- アーキテクト
- アジャイル開発
- アプリ開発
- インシデントレスポンス
- イベントレポート
- カスタマーストーリー
- カルチャー
- 官民学・業界連携
- 企業市民活動
- クラウド
- クラウドインテグレーション
- クラブ活動
- コーポレート
- 広報・マーケティング
- 攻撃者グループ
- 子育て、生活
- サイバー救急センター
- サイバー救急センターレポート
- サイバー攻撃
- サイバー犯罪
- サイバー・グリッド・ジャパン
- サプライチェーンリスク
- システム開発
- 趣味
- 障がい者採用
- 初心者向け
- 白浜シンポジウム
- 情シス向け
- 情報モラル
- 情報漏えい対策
- 人材開発・教育
- 診断30周年
- スレットインテリジェンス
- すごうで
- セキュリティ
- セキュリティ診断
- セキュリティ診断レポート
- 脆弱性
- 脆弱性管理
- ゼロトラスト
- 対談
- ダイバーシティ
- テレワーク
- データベース
- デジタルアイデンティティ
- 働き方改革
- 標的型攻撃
- プラス・セキュリティ人材
- モバイルアプリ
- ライター紹介
- ラックセキュリティアカデミー
- ランサムウェア
- リモートデスクトップ
- 1on1
- AI
- ASM
- CIS Controls
- CODE BLUE
- CTF
- CYBER GRID JOURNAL
- DevSecOps
- DX
- EC
- EDR
- FalconNest
- IoT
- IR
- JSOC
- JSOC INSIGHT
- LAC Security Insight
- NDR
- OWASP
- SASE
- Tech Crawling
- XDR
LAC Advisory No.146
デジタルペンテスト部の飯田です。
日本電気株式会社が提供するサーバ向け更新管理エージェント「ExpressUpdate Agent for Windows」において、一般ユーザーがSYSTEM権限で任意コードを実行できる脆弱性(CVE-2026-8797)を発見しました。
この脆弱性は一般ユーザーでのコード実行が前提条件です。本脆弱性を用いて、遠隔から直接攻撃される恐れはありませんが、他の脆弱性と組み合わせて攻撃に利用される恐れがあるため、早急に対策を行う必要があります。特に、サーバにインストールされるソフトウェアの脆弱性という性質上、悪用された場合に大きな影響が発生する可能性があるため注意が必要です。
製品開発者が販売しているサーバには当該製品が導入されている可能性があります。まずは当該製品がインストールされているかを確認し、インストールされている場合はアップデートを早急に実施することをおすすめします。
影響を受ける製品
- ExpressUpdate Agent for Windows 3.24以前
対策方法
製品開発者のサイトに従って最新バージョンへアップデートを実施してください。
※ 「ExpressUpdate Agent for Windowsにおけるアクセス制御不備の脆弱性」NV26-004: セキュリティ情報 | NEC
解説
当該製品はサーバ向けの更新管理エージェントであり、製品開発者が販売するWindows搭載サーバに導入されている可能性があります。
CVE-2026-8797は一般ユーザーが当該製品の内部で使用されている名前付きパイプを介してSYSTEM権限で任意コードを実行できる脆弱性です。CVSS v3/v4共に深刻度評価は「重要」となっており、悪用された場合に大きな影響が発生する可能性があります。
発見者
飯田 雅裕(株式会社ラック デジタルペンテスト部)
公表までの経緯
本脆弱性は、情報セキュリティ早期警戒パートナーシップに基づき、ラックからIPAに報告し、JPCERT/CCによって開発者との調整が行われました。
JVN#35146924
JVNDB-2026-000088
CVE番号
この記事をシェアする
関連記事
タグ
- アーキテクト
- アジャイル開発
- アプリ開発
- インシデントレスポンス
- イベントレポート
- カスタマーストーリー
- カルチャー
- 官民学・業界連携
- 企業市民活動
- クラウド
- クラウドインテグレーション
- クラブ活動
- コーポレート
- 広報・マーケティング
- 攻撃者グループ
- もっと見る +
- 子育て、生活
- サイバー救急センター
- サイバー救急センターレポート
- サイバー攻撃
- サイバー犯罪
- サイバー・グリッド・ジャパン
- サプライチェーンリスク
- システム開発
- 趣味
- 障がい者採用
- 初心者向け
- 白浜シンポジウム
- 情シス向け
- 情報モラル
- 情報漏えい対策
- 人材開発・教育
- 診断30周年
- スレットインテリジェンス
- すごうで
- セキュリティ
- セキュリティ診断
- セキュリティ診断レポート
- 脆弱性
- 脆弱性管理
- ゼロトラスト
- 対談
- ダイバーシティ
- テレワーク
- データベース
- デジタルアイデンティティ
- 働き方改革
- 標的型攻撃
- プラス・セキュリティ人材
- モバイルアプリ
- ライター紹介
- ラックセキュリティアカデミー
- ランサムウェア
- リモートデスクトップ
- 1on1
- AI
- ASM
- CIS Controls
- CODE BLUE
- CTF
- CYBER GRID JOURNAL
- DevSecOps
- DX
- EC
- EDR
- FalconNest
- IoT
- IR
- JSOC
- JSOC INSIGHT
- LAC Security Insight
- NDR
- OWASP
- SASE
- Tech Crawling
- XDR