製品・ソフトウェアに関する情報
FortraのCore Privileged Access ManagerにおけるOS コマンドインジェクションの脆弱性
Title FortraのCore Privileged Access ManagerにおけるOS コマンドインジェクションの脆弱性
Summary

Fortra BoKS Managerには、従来のtarベースのクライアントインストール向けのクライアントアップグレードおよびパッチツールにOSコマンドインジェクションの脆弱性が存在します。アップグレードまたはパッチ適用のために選択された悪意のある、または侵害された従来のtarインストールクライアントが、クライアントバージョン処理時にBoKSマスター上でコマンドを実行させる可能性があります。

Possible impacts ・当該ソフトウェアが扱う全ての情報が外部に漏れる可能性があります。 ・当該ソフトウェアが扱う全ての情報が書き換えられる可能性があります。 ・当該ソフトウェアが完全に停止する可能性があります。 
Solution

ベンダ情報を参照して適切な対策を実施してください。

Publication Date June 15, 2026, midnight
Registration Date July 13, 2026, 11:41 a.m.
Last Update July 13, 2026, 11:41 a.m.
CVSS3.0 : 重要
Score 8.8
Vector CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
Affected System
Fortra
Core Privileged Access Manager 8.1.0.0 から 8.1.0.22
Core Privileged Access Manager 9.0.0.0 から 9.0.0.4
CVE (情報セキュリティ 共通脆弱性識別子)
CWE (共通脆弱性タイプ一覧)
ベンダー情報
Change Log
No Changed Details Date of change
1 [2026年07月13日]
  掲載
July 13, 2026, 11:41 a.m.

NVD Vulnerability Information
CVE-2026-9863
Summary

Fortra BoKS Manager contains an OS command injection vulnerability in the client upgrade and patch tooling for legacy tar-based client installations. A malicious or compromised legacy tar-installed client selected for upgrade or patching may be able to cause commands to be executed on the BoKS Master during client version handling.

Publication Date June 16, 2026, 1:16 a.m.
Registration Date June 16, 2026, 4:12 a.m.
Last Update June 16, 2026, 1:16 a.m.
Related information, measures and tools
Common Vulnerabilities List