無料スキャン
分析待ちCVE-2026-23781

CVE-2026-23781: Hardcoded Credentials in BMC Control-M/MFT

プラットフォーム

other

コンポーネント

bmc-control-m-mft

修正版

9.0.22-025

NVDで見る
保存

BMC Control-M/MFTのバージョン9.0.20から9.0.22において、認証情報が平文でハードコードされている脆弱性が発見されました。この脆弱性を悪用されると、攻撃者はMFT APIデバッグインターフェースへの不正アクセスを試み、機密情報を窃取したり、システムを操作する可能性があります。影響を受けるバージョンは9.0.20~9.0.22ですが、9.0.22-025へのアップデートで修正されています。

影響と攻撃シナリオ

この脆弱性は、攻撃者がデフォルトの認証情報を取得することで、MFT APIデバッグインターフェースへのアクセスを容易にします。デバッグインターフェースは通常、開発やトラブルシューティングに使用されますが、攻撃者がこのインターフェースを悪用すると、MFTシステムの内部状態を把握したり、設定を変更したり、さらにはシステムを制御したりする可能性があります。特に、デフォルトの認証情報が変更されていない環境では、攻撃のリスクが非常に高くなります。攻撃者は、MFTシステムが扱うファイル転送プロセスを妨害したり、機密データを盗み出したりする可能性があります。この脆弱性は、類似のハードコードされた認証情報に関する過去の事例と同様に、機密情報の漏洩やシステムへの不正アクセスにつながる重大なリスクをもたらします。

悪用の状況

本脆弱性は、2026年4月10日に公開されました。現時点では、公開されているPoCは確認されていませんが、デフォルトの認証情報が平文でハードコードされているため、攻撃者による悪用が懸念されます。KEVへの登録状況やEPSSスコアは、現時点では評価待ちです。NVDおよびCISAからの情報公開に注意し、最新の情報を確認してください。

脅威インテリジェンス

エクスプロイト状況

概念実証不明
CISA KEVNO

EPSS

0.07% (20% パーセンタイル)

影響を受けるソフトウェア

コンポーネントbmc-control-m-mft
ベンダーn/a
最小バージョン9.0.20
最大バージョンn/a
修正版9.0.22-025

タイムライン

  1. 公開日
  2. 更新日
  3. EPSS 更新日

緩和策と回避策

まず、影響を受けるバージョン(9.0.20~9.0.22)を使用している場合は、速やかに9.0.22-025にアップデートしてください。アップデートが困難な場合は、MFT APIデバッグインターフェースへのアクセスを制限するファイアウォールルールやネットワークセグメンテーションを実装することを検討してください。また、MFTシステムのログを監視し、不正なアクセス試行がないか確認することも重要です。アップデート後、デバッグインターフェースへのアクセスが適切に制限されていることを確認し、デフォルトの認証情報が変更されていることを確認してください。

修正方法翻訳中…

Actualice BMC Control-M/MFT a la versión 9.0.22-025 o posterior para mitigar este riesgo.  Verifique que las credenciales de depuración predeterminadas hayan sido cambiadas o eliminadas después de la instalación inicial. Consulte la documentación de BMC para obtener instrucciones detalladas sobre cómo aplicar el parche y gestionar las credenciales de depuración.

よくある質問

CVE-2026-23781 — ハードコードされた認証情報とは、BMC Control-M/MFTで何ですか?

CVE-2026-23781は、BMC Control-M/MFT 9.0.20~9.0.22において、デフォルトのデバッグユーザーの認証情報が平文でハードコードされている脆弱性です。攻撃者はこの認証情報を取得し、不正アクセスを試みることが可能です。

CVE-2026-23781 in BMC Control-M/MFTの影響を受けていますか?

BMC Control-M/MFTのバージョン9.0.20~9.0.22を使用している場合は、影響を受けている可能性があります。速やかにバージョンを確認し、9.0.22-025へのアップデートを検討してください。

CVE-2026-23781 in BMC Control-M/MFTを修正するにはどうすればよいですか?

影響を受けるバージョンを使用している場合は、速やかに9.0.22-025にアップデートしてください。アップデートが困難な場合は、ファイアウォールルールやネットワークセグメンテーションを実装し、デバッグインターフェースへのアクセスを制限してください。

CVE-2026-23781は積極的に悪用されていますか?

現時点では、公開されているPoCは確認されていませんが、デフォルトの認証情報が平文でハードコードされているため、攻撃者による悪用が懸念されます。最新の情報を常に確認してください。

CVE-2026-23781に関するBMC Control-M/MFTの公式アドバイザリはどこで入手できますか?

BMC Control-M/MFTの公式アドバイザリは、BMCのサポートポータルで確認できます。CVE-2026-23781に関する情報が公開されたら、速やかに確認してください。

あなたのプロジェクトは影響を受けていますか?

依存関係ファイルをアップロードすれば、このCVEや他のCVEがあなたに影響するか即座にわかります。

無料スキャンCVEを検索
scanZone.liveBadgescanZone.eyebrow

今すぐ試す — アカウント不要

Upload any manifest (composer.lock, package-lock.json, WordPress plugin list…) or paste your component list. You get a vulnerability report instantly. Uploading a file is just the start: with an account you get continuous monitoring, Slack/email alerts, multi-project and white-label reports.

手動スキャンSlack/メールアラートContinuous monitoringホワイトラベルレポート

依存関係ファイルをドラッグ&ドロップ

composer.lock、package-lock.json、requirements.txt、Gemfile.lock、pubspec.lock、Dockerfile...