| タイトル | IBMのIBM Storage Protectにおけるハードコードされた認証情報の使用に関する脆弱性 |
|---|---|
| 概要 | IBM Storage Protect Client 8.1.0.0から8.2.1.0およびIBM Storage Protect Snapshot For Windows 8.1.0.0から8.2.1.0には、FlashCopy Manager (FCM) 認証機構にハードコーディングされた資格情報が使用されているため、リモートの攻撃者が認証を回避できる可能性があります。本アプリケーションには複数の認証コード経路に埋め込まれた静的な資格情報が含まれており、認証応答を適切に検証しません。そのため、認証されていない攻撃者が信頼されたセッションを確立し、保護されたサービスにアクセスする可能性があります。この脆弱性は複数のバージョンのクライアントコンポーネントに影響を与え、攻撃者が正当なクライアントを偽装することを許し、システムリソースへの不正アクセスを引き起こす可能性があります。 |
| 想定される影響 | ・当該ソフトウェアが扱う全ての情報が外部に漏れる可能性があります。 ・当該ソフトウェアが扱う全ての情報が書き換えられる可能性があります。 ・当該ソフトウェアは停止しません。 |
| 対策 | ベンダ情報を参照して適切な対策を実施してください。 |
| 公表日 | 2026年6月22日0:00 |
| 登録日 | 2026年6月29日11:21 |
| 最終更新日 | 2026年6月29日11:21 |
| CVSS3.0 : 緊急 | |
| スコア | 9.1 |
|---|---|
| ベクター | CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N |
| IBM |
| IBM Storage Protect 8.1.0.0 以上 8.2.1.1 未満 |
| No | 変更内容 | 変更日 |
|---|---|---|
| 1 | [2026年06月29日] 掲載 |
2026年6月29日11:21 |
| 概要 | IBM Storage Protect Client 8.1.0.0 through 8.2.1.0 and IBM Storage Protect Snapshot For Windows 8.1.0.0 through 8.2.1.0 could allow a remote attacker to bypass authentication due to the use of a hardcoded credential in the FlashCopy Manager (FCM) authentication mechanism. The application contains a static credential embedded in multiple authentication code paths, and does not properly validate authentication responses, which may allow an unauthenticated attacker to establish a trusted session and access protected services. This vulnerability affects client components across multiple versions and may allow an attacker to impersonate legitimate clients, potentially leading to unauthorized access to system resources. |
|---|---|
| 公表日 | 2026年6月23日1:16 |
| 登録日 | 2026年6月27日4:10 |
| 最終更新日 | 2026年6月27日5:01 |
| 構成1 | 以上 | 以下 | より上 | 未満 | |
| cpe:2.3:a:ibm:storage_protect:*:*:*:*:*:*:*:* | 8.1.0.0 | 8.2.1.1 | |||