ADSelfService Plus ナレッジベース

ManageEngine > サポート > ADSelfService Plus ナレッジベース > 脆弱性情報 > 脆弱性(CVE-2026-11374)の概要および対応方法
戻る

脆弱性(CVE-2026-11374)の概要および対応方法

  • 作成日:2026年6月24日 | 更新日:2026年6月24日

ADSelfService Plusにおきまして、 アカウント乗っ取りの脆弱性(CVE-2026-11374)が確認されました。
本脆弱性は将来リリース予定のビルドにて修正予定です。

本ナレッジでは、当該脆弱性の詳細について記載します。

※本ナレッジの内容はグローバル本社のナレッジベース(英語)を翻訳、一部加筆したものです。
CVE-2026-11374: Account takeover vulnerability in ADSelfService Plus, RecoveryManager Plus, M365 Manager Plus, and ADAudit Plus

 

脆弱性の概要

本脆弱性は、ADSelfService Plusが「ManageEngine AD360」の統合コンポーネントとして導入されている場合に発生します。
ManageEngine AD360と統合されたADSelfService Plusにユーザーがシングルサインオン(SSO)を介してログインする際、そのセッションを認証するために生成されるSSOチケットが、認証されていない攻撃者によって推測される可能性があります。
本脆弱性により、ユーザーのIDおよびロール情報を不正に取得され、ユーザーアカウントの乗っ取りにつながる恐れがあります。

脆弱性の重要度

高(High)

影響を受けるビルド

日本向けにリリースしているビルド6525以前の、すべてのビルドが対象です。
(グローバル向けのビルドでは、6528以前のすべてのビルドが対象です。)

ユーザーへの影響

本脆弱性を悪用した攻撃者により、ユーザーアカウントが乗っ取られる可能性があります。

対応方法

グローバルにて、本脆弱性に対応したビルド6529をリリースしております。

グローバルリリースのビルド6529(または6529以上のビルド)のアップグレード用サービスパックを、ご使用のADSelfService Plusに適用することが可能です。
ご入用の際は、ManageEngine Communityよりサポート窓口までお問い合わせいただけますと幸いです。

2026年6月24日現在、日本向けリリースにおける本脆弱性対応ビルドのリリースは未定です。リリースまで今しばらくお待ちください。
対応ビルドリリースの際は、保守ユーザーの皆様にメールにてお知らせいたします。

 
以上。

このナレッジの総閲覧回数: 13

関連ナレッジ:

  1. 脆弱性(CVE-2026-1367)の概要および対応方法
  2. 製品内の日本語表記ミスについて
  3. ADSelfService Plus 6.5 リリースノート
  4. PostgreSQLデータベースから MS SQL Serverへの移行方法

タグ: