HIGHCVE-2024-47010CVSS 7.3

Ivanti Avalanche バージョン 6.4.5 より前のバージョンにおける Path Traversal により、リモートの認証されていない攻撃者が認証を回避できる。

プラットフォーム

ivanti

コンポーネント

ivanti-avalanche

修正版

6.4.5

AI Confidence: highNVDEPSS 1.3%レビュー済み: 2026年5月

NVDで見る

保存

CVE-2024-47010は、Ivanti Avalancheの6.4.5以前のバージョンに存在するパス・トラバーサル脆弱性です。この脆弱性を悪用されると、認証なしの攻撃者がシステム内の機密ファイルにアクセスし、認証を回避することが可能になります。影響を受けるバージョンは6.4.5以前ですが、Ivantiは6.4.5へのアップデートを推奨しています。

影響と攻撃シナリオ

この脆弱性は、認証なしの攻撃者がIvanti Avalancheサーバー上のファイルシステムを自由に探索することを可能にします。攻撃者は、機密情報を含む設定ファイル、ログファイル、またはその他の重要なデータにアクセスできる可能性があります。パス・トラバーサル攻撃は、通常、攻撃者がディレクトリ構造を移動するために「..」のような特殊文字を使用することで、本来アクセスできないファイルにアクセスすることを可能にします。この脆弱性の悪用により、攻撃者はシステム管理者の権限を奪取したり、機密情報を盗み出したり、さらなる攻撃の足がかりに利用する可能性があります。

悪用の状況

CVE-2024-47010は、2024年10月8日に公開されました。現時点では、公開されているPoCは確認されていませんが、パス・トラバーサル脆弱性は一般的に悪用が容易であるため、注意が必要です。CISAのKEVリストへの登録状況は不明です。この脆弱性は、認証を回避できるため、攻撃者にとって魅力的な標的となる可能性があります。

リスク対象者翻訳中…

Organizations deploying Ivanti Avalanche, particularly those with publicly accessible instances or those lacking robust network segmentation, are at significant risk. Environments with legacy configurations or those relying on default settings are also more vulnerable. Shared hosting environments where multiple customers share the same server infrastructure are especially susceptible.

検出手順翻訳中…

• windows / supply-chain:

Get-Process -Name "Avalanche*" | Select-Object -ExpandProperty Path

• linux / server:

ps aux | grep Avalanche

• generic web:

curl -I http://your-avalanche-server/../../../../etc/passwd

攻撃タイムライン

2024-10-08Disclosure
disclosure

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

インターネット露出高

EPSS

1.34% (80% パーセンタイル)

CISA SSVC

悪用状況none

自動化可能yes

技術的影響partial

CVSS ベクトル

影響を受けるソフトウェア

コンポーネントivanti-avalanche

ベンダーIvanti

最大バージョン6.4.5

修正版6.4.5

弱点分類 (CWE)

CWE-22 CWE-288

タイムライン

予約済み2024-09-16
公開日2024-10-08
EPSS 更新日2026-04-02

緩和策と回避策

この脆弱性への最も効果的な対策は、Ivanti Avalancheをバージョン6.4.5以降にアップデートすることです。アップデートがすぐに利用できない場合、一時的な緩和策として、Webアプリケーションファイアウォール（WAF）を使用して、パス・トラバーサル攻撃を試みるリクエストをブロックすることができます。また、ファイルシステムのアクセス権を厳格に制限し、不要なファイルへのアクセスを禁止することも有効です。WAFルールでは、URLパラメータに「..」のような文字列が含まれるリクエストをブロックするように設定します。

修正方法翻訳中…

Actualice Ivanti Avalanche a la versión 6.4.5 o posterior. La actualización corrige la vulnerabilidad de path traversal que permite la elusión de la autenticación. Consulte el aviso de seguridad de Ivanti para obtener instrucciones detalladas sobre la actualización.

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2024-47010 — パス・トラバーサル脆弱性 in Ivanti Avalancheとは何ですか？

CVE-2024-47010は、Ivanti Avalancheの6.4.5以前のバージョンに存在するパス・トラバーサル脆弱性で、認証なしの攻撃者が認証を回避できる可能性があります。

CVE-2024-47010 in Ivanti Avalancheの影響はありますか？

はい、Ivanti Avalancheの6.4.5以前のバージョンを使用している場合、認証なしの攻撃者が機密ファイルにアクセスされるリスクがあります。

CVE-2024-47010 in Ivanti Avalancheを修正するにはどうすればよいですか？

Ivanti Avalancheをバージョン6.4.5以降にアップデートしてください。アップデートがすぐに利用できない場合は、WAFなどの緩和策を検討してください。

CVE-2024-47010は積極的に悪用されていますか？

現時点では公開されているPoCはありませんが、パス・トラバーサル脆弱性は悪用が容易であるため、注意が必要です。

CVE-2024-47010に関するIvantiの公式アドバイザリはどこで入手できますか？

Ivantiのセキュリティアドバイザリページで確認してください。