MEDIUMCVE-2024-30150CVSS 5.3

認証されていない特権昇格の脆弱性がHCL MyCloudに影響を与えます

プラットフォーム

other

コンポーネント

hcl-mycloud

修正版

10.8.2

AI Confidence: highNVDEPSS 0.2%レビュー済み: 2026年5月

NVDで見る

保存

CVE-2024-30150は、HCL MyCloudにおいて不正なアクセス制御により発生する特権昇格の脆弱性です。この脆弱性を悪用されると、認証されていないユーザーが機密情報を盗み出したり、サーバーサイドリクエストフォージング（SSRF）やサービス拒否（DoS）攻撃を実行したりする可能性があります。影響を受けるバージョンは10.8.1–10.8.1で、修正バージョンは10.8.2です。

影響と攻撃シナリオ

この脆弱性は、認証されていない攻撃者がHCL MyCloudシステムに不正にアクセスし、機密情報を盗み出すことを可能にします。攻撃者は、SSRF攻撃を実行して内部リソースにアクセスしたり、DoS攻撃を実行してシステムをダウンさせたりする可能性があります。特に、内部ネットワークへのアクセス権がない攻撃者にとって、この脆弱性は非常に危険です。攻撃者は、脆弱性を悪用して、機密データへの不正アクセス、システムの改ざん、さらにはネットワーク全体への影響を及ぼす可能性があります。類似の脆弱性は、アクセス制御の不備から発生する可能性があり、慎重なアクセス管理が不可欠です。

悪用の状況

この脆弱性は、2025年2月25日に公開されました。現時点では、KEV（Known Exploited Vulnerabilities）リストには掲載されていません。EPSS（Exploit Prediction Score System）のスコアは、現時点では不明です。公的に利用可能なPoC（Proof of Concept）は確認されていませんが、脆弱性の性質上、将来的に悪用される可能性はあります。NVD（National Vulnerability Database）およびCISA（Cybersecurity and Infrastructure Security Agency）の情報を常に確認し、最新の脅威動向を把握することが重要です。

リスク対象者翻訳中…

Organizations utilizing HCL MyCloud versions 10.8.1 through 10.8.1, particularly those with exposed MyCloud instances or those lacking robust network segmentation, are at significant risk. Shared hosting environments where multiple tenants share the same MyCloud instance are also particularly vulnerable.

攻撃タイムライン

2025-02-25Disclosure
disclosure

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

インターネット露出高

EPSS

0.16% (37% パーセンタイル)

CISA SSVC

悪用状況none

自動化可能yes

技術的影響partial

CVSS ベクトル

影響を受けるソフトウェア

コンポーネントhcl-mycloud

ベンダーHCL Software

影響範囲修正版

10.8.1 – 10.8.110.8.2

弱点分類 (CWE)

CWE-269

タイムライン

予約済み2024-03-22
公開日2025-02-25
更新日2025-02-26
EPSS 更新日2026-04-02

緩和策と回避策

まず、HCL MyCloudをバージョン10.8.2にアップデートすることを強く推奨します。アップデートがすぐに利用できない場合は、アクセス制御リスト（ACL）を厳格に設定し、不要なポートを閉じ、ファイアウォールルールを強化することで、攻撃対象領域を最小限に抑えることができます。また、WAF（Web Application Firewall）を導入し、SSRF攻撃やDoS攻撃を検知・防御するルールを設定することも有効です。さらに、定期的なセキュリティ監査を実施し、潜在的な脆弱性を早期に発見し、修正することが重要です。アップデート後、アクセスログを監視し、不正なアクセスがないか確認してください。

修正方法翻訳中…

Actualice HCL MyCloud a una versión posterior a la 10.8.1 que contenga la corrección para la vulnerabilidad de escalada de privilegios. Consulte el artículo de la base de conocimientos de HCL para obtener instrucciones específicas sobre la actualización y las versiones corregidas: https://support.hcl-software.com/csm?id=kb_article&sysparm_article=KB0119368

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2024-30150 — 特権昇格 in HCL MyCloudとは何ですか？

CVE-2024-30150は、HCL MyCloudのバージョン10.8.1–10.8.1に影響する不正なアクセス制御による特権昇格の脆弱性です。認証されていないユーザーが情報漏洩、SSRF、DoS攻撃を引き起こす可能性があります。

CVE-2024-30150 in HCL MyCloudに影響を受けますか？

HCL MyCloudのバージョン10.8.1–10.8.1を使用している場合は、影響を受けます。バージョン10.8.2にアップデートしてください。

CVE-2024-30150 in HCL MyCloudを修正するにはどうすればよいですか？

HCL MyCloudをバージョン10.8.2にアップデートしてください。アップデートがすぐに利用できない場合は、アクセス制御リスト（ACL）を厳格に設定し、ファイアウォールルールを強化してください。

CVE-2024-30150は積極的に悪用されていますか？

現時点では、公的に利用可能なPoCは確認されていませんが、将来的に悪用される可能性はあります。

CVE-2024-30150のHCL MyCloud公式アドバイザリはどこで入手できますか？

HCLのセキュリティアドバイザリページで確認してください。詳細はHCLの公式ドキュメントを参照してください。