CVE-2026-23781: Hardcoded Credentials in BMC Control-M/MFT
プラットフォーム
other
コンポーネント
bmc-control-m-mft
修正版
9.0.22-025
CVE-2026-23781 is a critical vulnerability affecting BMC Control-M/MFT versions 9.0.20 through 9.0.22. The vulnerability stems from the hardcoding of default debug user credentials in cleartext within the application package. This allows attackers with access to the application package to easily obtain these credentials and potentially gain unauthorized access to the MFT API debug interface. A fix is available in version 9.0.22-025.
影響と攻撃シナリオ
CVE-2026-23781 は、BMC Control-M/MFT のバージョン 9.0.20 から 9.0.22 に影響します。この脆弱性は、アプリケーションパッケージ内に平文でデフォルトのデバッグユーザーの認証情報がハードコードされていることに起因します。これらの認証情報が変更されない場合、攻撃者はそれらを容易に取得し、MFT API デバッグインターフェイスへの不正アクセスを試みる可能性があります。これにより、機密データの不正アクセス、構成の操作、または影響を受けたシステム上での悪意のあるコードの実行が可能になる可能性があります。この脆弱性の重大度は、悪用が容易であり、データ機密性、完全性、可用性に潜在的な影響を与えるため、高くなっています。
悪用の状況
この脆弱性の悪用は比較的簡単です。攻撃者は、アプリケーションパッケージにアクセスしてデフォルトの認証情報を抽出するだけです。認証情報が取得されると、それらを使用して MFT API デバッグインターフェイスに認証できます。このインターフェイスへのアクセスにより、攻撃者はシステム構成を検査および操作し、機密データにアクセスし、その他の悪意のあるアクションを実行できます。デバッグインターフェイスへの適切な認証がないため、この脆弱性は特に危険です。
脅威インテリジェンス
エクスプロイト状況
EPSS
0.07% (20% パーセンタイル)
影響を受けるソフトウェア
タイムライン
- 公開日
- 更新日
- EPSS 更新日
緩和策と回避策
CVE-2026-23781 を軽減するための解決策は、BMC Control-M/MFT をバージョン 9.0.22-025 以降に更新することです。この更新により、デフォルトのデバッグ認証情報が削除され、ユーザーは独自の安全な認証情報を構成するように求められます。さらに、ユーザー管理と権限を含む、システムのセキュリティ構成を定期的にレビューおよび監査することが重要です。堅牢なパスワードポリシーを実装し、可能な限り多要素認証 (MFA) を有効にすることが重要です。不審なアクティビティを監視することで、潜在的な攻撃を検出し、対応するのに役立ちます。
修正方法翻訳中…
Actualice BMC Control-M/MFT a la versión 9.0.22-025 o posterior para mitigar este riesgo. Verifique que las credenciales de depuración predeterminadas hayan sido cambiadas o eliminadas después de la instalación inicial. Consulte la documentación de BMC para obtener instrucciones detalladas sobre cómo aplicar el parche y gestionar las credenciales de depuración.
よくある質問
CVE-2026-23781 とは何ですか?(BMC Control-M/MFT)
バージョン 9.0.20、9.0.21、および 9.0.22 が CVE-2026-23781 に影響を受けます。
BMC Control-M/MFT の CVE-2026-23781 による影響を受けていますか?
インストールされているバージョンを確認するには、BMC のドキュメントまたは Control-M/MFT 管理インターフェイスを参照してください。
BMC Control-M/MFT の CVE-2026-23781 を修正するにはどうすればよいですか?
一時的な措置として、更新を適用するまで MFT API デバッグインターフェイスを無効にすることを検討してください。
CVE-2026-23781 は積極的に悪用されていますか?
BMC は、環境内のデフォルト認証情報の存在を特定するのに役立つツールまたはスクリプトを提供している場合があります。
CVE-2026-23781 に関する BMC Control-M/MFT の公式アドバイザリはどこで確認できますか?
堅牢なパスワードポリシー、多要素認証を実装し、システムログを定期的にレビューしてください。
今すぐ試す — アカウント不要
Upload any manifest (composer.lock, package-lock.json, WordPress plugin list…) or paste your component list. You get a vulnerability report instantly. Uploading a file is just the start: with an account you get continuous monitoring, Slack/email alerts, multi-project and white-label reports.
依存関係ファイルをドラッグ&ドロップ
composer.lock、package-lock.json、requirements.txt、Gemfile.lock、pubspec.lock、Dockerfile...