| Title | HCL Technologies LimitedのBigFix WebUI API等の複数製品における不正な認証に関する脆弱性 |
|---|---|
| Summary | HCL BigFix WebUIにおける不適切な認可の脆弱性により、マスターオペレーター権限を持たない認証ユーザーが、適切なセキュリティヘッダーを欠く保護されていないエンドポイントを経由して、内部データ(サイト名、バージョン、および構成変数)にアクセスし、権限要件を回避する可能性があります。 |
| Possible impacts | 当該ソフトウェアが扱う全ての情報が外部に漏れる可能性があります。 また、当該ソフトウェアが扱う情報について、書き換えは発生しません。 さらに、当該ソフトウェアは停止しません。 そして、この脆弱性を悪用した攻撃の影響は、他のソフトウェアには及びません。 |
| Solution | 正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。 |
| Publication Date | May 9, 2026, midnight |
| Registration Date | May 18, 2026, 12:06 p.m. |
| Last Update | May 18, 2026, 12:06 p.m. |
| CVSS3.0 : 警告 | |
| Score | 6.5 |
|---|---|
| Vector | CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N |
| HCL Technologies Limited |
| BigFix WebUI API 33 未満 |
| BigFix WebUI Application Administration 40 未満 |
| BigFix WebUI CMEP 22 未満 |
| BigFix WebUI Common 101 未満 |
| BigFix WebUI Content App 28 未満 |
| BigFix WebUI Custom 50 未満 |
| BigFix WebUI Data Sync 37 未満 |
| BigFix WebUI Extensions 14 未満 |
| BigFix WebUI Framework 35 未満 |
| bigfix webui insights 32 未満 |
| BigFix WebUI IVR 23 未満 |
| BigFix WebUI MDM 29 未満 |
| BigFix WebUI Patch 54 未満 |
| BigFix WebUI Patch Policies 51 未満 |
| BigFix WebUI Permissions And Preferences 27 未満 |
| BigFix WebUI Profile Management 33 未満 |
| BigFix WebUI Query 45 未満 |
| BigFix WebUI Reports 24 未満 |
| BigFix WebUI SCM 20 未満 |
| BigFix WebUI Software Distribution 54 未満 |
| BigFix WebUI Take Action 37 未満 |
| No | Changed Details | Date of change |
|---|---|---|
| 1 | [2026年05月18日] 掲載 |
May 18, 2026, 12:06 p.m. |
| Summary | An improper authorization vulnerability in HCL BigFix WebUI allows an authenticated user without Master Operator privileges to access internal data (site names, versions, and configuration variables) and bypass privilege requirements via unprotected endpoints lacking adequate security headers. |
|---|---|
| Publication Date | May 9, 2026, 3:16 p.m. |
| Registration Date | May 10, 2026, 4:10 a.m. |
| Last Update | May 15, 2026, 5:28 a.m. |
| Configuration1 | or higher | or less | more than | less than | |
| cpe:2.3:a:hcltech:bigfix_webui_api:*:*:*:*:*:*:*:* | 33 | ||||
| cpe:2.3:a:hcltech:bigfix_webui_application_administration:*:*:*:*:*:*:*:* | 40 | ||||
| cpe:2.3:a:hcltech:bigfix_webui_cmep:*:*:*:*:*:*:*:* | 22 | ||||
| cpe:2.3:a:hcltech:bigfix_webui_common:*:*:*:*:*:*:*:* | 101 | ||||
| cpe:2.3:a:hcltech:bigfix_webui_content_app:*:*:*:*:*:*:*:* | 28 | ||||
| cpe:2.3:a:hcltech:bigfix_webui_custom:*:*:*:*:*:*:*:* | 50 | ||||
| cpe:2.3:a:hcltech:bigfix_webui_data_sync:*:*:*:*:*:*:*:* | 37 | ||||
| cpe:2.3:a:hcltech:bigfix_webui_extensions:*:*:*:*:*:*:*:* | 14 | ||||
| cpe:2.3:a:hcltech:bigfix_webui_framework:*:*:*:*:*:*:*:* | 35 | ||||
| cpe:2.3:a:hcltech:bigfix_webui_insights:*:*:*:*:*:*:*:* | 32 | ||||
| cpe:2.3:a:hcltech:bigfix_webui_ivr:*:*:*:*:*:*:*:* | 23 | ||||
| cpe:2.3:a:hcltech:bigfix_webui_mdm:*:*:*:*:*:*:*:* | 29 | ||||
| cpe:2.3:a:hcltech:bigfix_webui_patch:*:*:*:*:*:*:*:* | 54 | ||||
| cpe:2.3:a:hcltech:bigfix_webui_patch_policies:*:*:*:*:*:*:*:* | 51 | ||||
| cpe:2.3:a:hcltech:bigfix_webui_permissions_and_preferences:*:*:*:*:*:*:*:* | 27 | ||||
| cpe:2.3:a:hcltech:bigfix_webui_profile_management:*:*:*:*:*:*:*:* | 33 | ||||
| cpe:2.3:a:hcltech:bigfix_webui_query:*:*:*:*:*:*:*:* | 45 | ||||
| cpe:2.3:a:hcltech:bigfix_webui_reports:*:*:*:*:*:*:*:* | 24 | ||||
| cpe:2.3:a:hcltech:bigfix_webui_scm:*:*:*:*:*:*:*:* | 20 | ||||
| cpe:2.3:a:hcltech:bigfix_webui_software_distribution:*:*:*:*:*:*:*:* | 54 | ||||
| cpe:2.3:a:hcltech:bigfix_webui_take_action:*:*:*:*:*:*:*:* | 37 | ||||