重要情報: 1. 脆弱性概要: - CVE-2024-7477: SQLインジェクション脆弱性。管理者権限を持つコマンドラインインターフェース(CLI)ユーザーが任意のクエリを実行できる。 - CVE-2024-7480: 不適切なアクセス制御の脆弱性。管理者権限を持つコマンドラインインターフェース(CLI)ユーザーがシステム上の任意のファイルを読み取ることができる。 2. 影響を受ける製品: - Avaya Aura System Manager: バージョン10.1.x.xおよび10.2.x.x。 3. 修正対策: - バージョン10.1.x.xおよび10.2.x.xについては、バージョン10.1.3.3以降へのアップグレードを推奨します。さらに、Avaya Breeze® Element Manager 3.9.0.0.390038以降をインストールしてください。 4. CVSSスコア: - CVE-2024-7477: CVSSv3 ベーススコア 6.5 (Medium) - CVE-2024-7480: CVSSv3 ベーススコア 4.2 (Medium) 5. 免責事項: - 本情報は参考目的のみを提供するものであり、正確性を保証するものではありません。 - 既にライフサイクルが終了した製品バージョンには適用されません。 - Avayaは、直接、間接、特別、または結果的な損失を含むがこれらに限定されないいかなる責任も負いません。 6. 連絡先情報: - 顧客またはパートナーは、Avaya製品に関する任意のセキュリティ問題を報告する場合、標準的なサポートプロセスを通じて行う必要があります。 - 独立したセキュリティ研究者は、Avayaのセキュリティアラートチームに連絡することができます。 まとめ: Avaya Aura System Managerには、SQLインジェクションおよびアクセス制御に関連する2つの高リスクの脆弱性が存在します。 影響を受けるバージョンは10.1.x.xおよび10.2.x.xです。 推奨事項として、バージョン10.1.3.3以降へのアップグレードと、特定のAvaya Breeze® Element Managerバージョンのインストールが求められます。 CVSSスコアは中リスクを示しています。 免責事項は、本情報が参考目的のみであることを強調し、ライフサイクルが終了した製品バージョンには適用されないこと、および一切の責任を負わないことを明記しています。