HIGHCVE-2026-5785CVSS 8.1

SQLインジェクション (SQL Injection)

プラットフォーム

manageengine

コンポーネント

manageengine-pam360

修正版

8531

AI Confidence: highNVDEPSS 0.0%レビュー済み: 2026年5月

NVDで見る

保存

CVE-2026-5785 は、Zohocorp ManageEngine PAM360 および ManageEngine Password Manager Pro における認証済みSQLインジェクション脆弱性です。この脆弱性は、攻撃者がレポートクエリモジュールを悪用することで、データベース内の機密情報にアクセスする可能性があります。影響を受けるバージョンは、ManageEngine PAM360 の 0.0.0 から 13230 まで、および ManageEngine Password Manager Pro の 8600 から 13230 までです。バージョン 8531 でこの脆弱性は修正されています。

影響と攻撃シナリオ

CVE-2026-5785 は、ManageEngine PAM360 (8531 より前のバージョン) および ManageEngine Password Manager Pro (8600 から 13230 までのバージョン) に影響を与えます。この脆弱性は、レポート生成モジュールにおける認証済み SQL インジェクションを可能にします。システムへの認証されたアクセス権を持つ攻撃者は、この欠陥を利用して SQL クエリを操作し、データベースから機密データを抽出したり、情報を変更したり、システム全体の整合性を損なう可能性があります。CVSS 重度スコアは 8.1 で、高いリスクを示しています。攻撃の成功には、PAM360 または Password Manager Pro へのアクセスに必要な有効な資格情報が必要です。潜在的な影響には、パスワード、ユーザー情報、監査データ、データベースに保存されているその他の機密データの開示が含まれます。

悪用の状況

この脆弱性は、PAM360 および Password Manager Pro のレポート生成モジュールに存在します。認証された攻撃者は、レポートのクエリパラメータに悪意のある SQL コードを注入できます。この悪意のあるコードはデータベースサーバー上で実行され、攻撃者が機密データにアクセスしたり、許可されていないアクションを実行したりできるようになります。攻撃の実行には認証が必須であり、攻撃者はシステムにアクセスするために有効なユーザーアカウントと資格情報を持っている必要があります。攻撃の複雑さは比較的低く、ユーザーインターフェースまたは API を介して入力パラメータを操作することで SQL インジェクションを実行できます。レポートモジュールの入力検証の欠如が、この脆弱性の主な原因です。

リスク対象者翻訳中…

Organizations heavily reliant on ManageEngine PAM360 for privileged access management are at significant risk. Specifically, deployments with weak password policies or those storing sensitive data directly within the PAM360 database are particularly vulnerable. Shared hosting environments where multiple tenants share the same PAM360 instance also face increased risk.

検出手順翻訳中…

• linux / server:

journalctl -u pam360 | grep -i "SQL injection"

• database (mysql):

mysql -u <user> -p -e "SELECT VERSION();"

• generic web:

curl -I <pam360_url>/query_report?param='; DROP TABLE users;--

攻撃タイムライン

2026-04-16Disclosure
disclosure

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

インターネット露出高

レポート1 脅威レポート

EPSS

0.02% (7% パーセンタイル)

CISA SSVC

悪用状況none

自動化可能no

技術的影響total

影響を受けるソフトウェア

コンポーネントmanageengine-pam360

ベンダーZohocorp

影響範囲修正版

0 – 85318531

8600 – 132308531

弱点分類 (CWE)

CWE-89

タイムライン

予約済み2026-04-08
公開日2026-04-16
更新日2026-04-17
EPSS 更新日2026-04-24

緩和策と回避策

解決策は、ManageEngine PAM360 (バージョン 8531 以降) または ManageEngine Password Manager Pro (バージョン 13230 以降) のパッチを適用されたバージョンにアップグレードすることです。Zohocorp は、この脆弱性を修正するためにこれらのアップデートをリリースしました。さらに、データベースへのアクセスポリシーを見直し、強化して、承認されたユーザーのみが機密情報にアクセスできるようにする必要があります。レポート生成モジュール内の入力検証とデータサニタイズを実装することで、将来の SQL インジェクションを防止できます。データベースに関連する疑わしいアクティビティについてシステムログを監視することは、潜在的な攻撃を検出し、対応するために重要です。定期的なセキュリティ監査は、脆弱性を特定し、軽減するために不可欠です。

修正方法翻訳中…

Actualice ManageEngine PAM360 a la versión 8531 o posterior, o ManageEngine Password Manager Pro a una versión posterior a 13230 para mitigar la vulnerabilidad de inyección SQL.  Verifique las notas de la versión para obtener instrucciones específicas de actualización.  Implemente validación y sanitización de entradas para prevenir futuras inyecciones SQL.

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2026-5785 とは何ですか？（ManageEngine PAM360 の SQL Injection）

8531 より前のバージョンの PAM360 と 8600 から 13230 までのバージョンの Password Manager Pro が影響を受けます。

ManageEngine PAM360 の CVE-2026-5785 による影響を受けていますか？

PAM360 または Password Manager Pro のインストールされているバージョンを確認してください。記載されているバージョンよりも前のバージョンを使用している場合は、脆弱です。

ManageEngine PAM360 の CVE-2026-5785 を修正するにはどうすればよいですか？

すぐにアップグレードできない場合は、レポート生成モジュールへのアクセスを、最小限の特権を持つユーザーに制限してください。

CVE-2026-5785 は積極的に悪用されていますか？

パスワード、ユーザー情報、監査データ、データベースに保存されているその他の機密データ。

CVE-2026-5785 に関する ManageEngine PAM360 の公式アドバイザリはどこで確認できますか？

Zohocorp の Web サイトまたは ManageEngine PAM360/Password Manager Pro の公式ドキュメントをご覧ください。