【既知の不具合】Endpoint Centralの脆弱性(CVE-2024-9097)について
作成日:2025年3月7日 | 更新日:2025年3月7日
Endpoint Centralの脆弱性(CVE-2024-9097)の概要
対象ビルド
Endpoint Central 11.3.2428.01 以前のビルド
※ ご利用中のバージョン・ビルド番号の確認方法はこちらをご覧ください。
※ 日本国内向けのリリースビルド11.3.2400.33も該当いたします。
問題
Endpoint Centralのリモート制御機能にはテキストチャット機能が含まれています。
Endpoint Centralの製品ユーザーが複数存在するような環境において、このテキストチャット機能を使用する場合、チャット欄に表示されるユーザー名を他のユーザーに偽装することが可能であるという脆弱性が確認されました。
※ この脆弱性を悪用した場合でも、外部のユーザーが製品ユーザーに成りすますことはできません。
- https://www.cve.org/CVERecord?id=CVE-2024-9097(CVE)
- https://nvd.nist.gov/vuln/detail/CVE-2024-9097(NIST)
- https://www.manageengine.com/products/desktop-central/cve-2024-9097.html(ManageEngine)
影響
影響は限定的であると考えられます。
- CVSS Score: 3.5
- Severity: Low
- Vector: CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:N/I:L/A:N
修正予定ビルド
Endpoint Central 11.3.2428.26 以降のビルドで修正が予定されています。
現在、日本国内向けにリリースされている修正済みビルドはありません(もし早急な対応が必要である場合は、恐れ入りますがお問い合わせください)。