| タイトル | University at BuffaloのOpen XDMoDにおけるOS コマンドインジェクションの脆弱性 |
|---|---|
| 概要 | OpenXDMoDはHPCメトリクスの収集および分析のためのオープンフレームワークです。バージョン9.5.0から11.0.3未満のバージョンにおいて、攻撃者はOpenXDMoDをホストするウェブサーバー上で任意のシステムコマンドをウェブサーバープロセスの権限でリモート実行することが可能です。これにより攻撃者はアプリケーションデータを閲覧または改ざんし、システム構成を変更したりサービスの可用性を妨害したりする可能性があります。OpenXDMoDのバージョン9.5.0から11.0.2(含む)までの全ての導入環境が影響を受けます。この問題は2026年4月6日に非公開で報告されており、現時点で本脆弱性が実際に悪用された証拠はありません。この脆弱性は2026年5月12日にリリースされたOpenXDMoD 11.0.3により修正されました。回避策としては手動でパッチを適用することが推奨されます。 |
| 想定される影響 | ・当該ソフトウェアが扱う全ての情報が外部に漏れる可能性があります。 ・当該ソフトウェアが扱う全ての情報が書き換えられる可能性があります。 ・当該ソフトウェアが完全に停止する可能性があります。 |
| 対策 | ベンダ情報を参照して適切な対策を実施してください。 |
| 公表日 | 2026年6月5日0:00 |
| 登録日 | 2026年6月11日16:23 |
| 最終更新日 | 2026年6月11日16:23 |
| CVSS3.0 : 緊急 | |
| スコア | 9.8 |
|---|---|
| ベクター | CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
| University at Buffalo |
| Open XDMoD 9.5.0 以上 11.0.3 未満 |
| No | 変更内容 | 変更日 |
|---|---|---|
| 1 | [2026年06月11日] 掲載 |
2026年6月11日16:23 |
| 概要 | OpenXDMoD is an open framework for collecting and analyzing HPC metrics. Starting in version 9.5.0 and prior to version 11.0.3, an attacker can remotely execute arbitrary system commands on the web server hosting Open XDMoD with the privileges of the web server process. This could allow an attacker to read or modify application data, alter system configuration, or disrupt service availability. All deployments of Open XDMoD versions 9.5.0 through 11.0.2 (inclusive) are impacted. This issue was reported privately on 2026-04-06, and at this time there is no evidence that this vulnerability has been exploited in the wild. The vulnerability was patched in Open XDMoD 11.0.3 on 2026-05-12. As a workaround, apply the patch manually. |
|---|---|
| 公表日 | 2026年6月6日5:17 |
| 登録日 | 2026年6月7日4:12 |
| 最終更新日 | 2026年6月6日5:48 |