主要情報 脆弱性タイトル: Nagios XI < 2024R1.1.3 の移行機能によるホスト上でのルート権限昇格 重大度: CRITICAL 公開日: 2025年10月30日 影響範囲: - XI < 2024R1.1.3 CVE番号: CVE-2024-13997 CWE分類: CWE-269 不適切な権限管理 CVSSスコア: 9.4 CVSS V4 ベクター: CVSS:4.0/AV:N/AC:L/AT:N/PR:H/UI:N/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H 参考リンク: - Nagios XI のセキュリティ開示情報 - Nagios XI の変更履歴 発見者: Jack Eli 説明 2024R1.1.3 以前の Nagios XI バージョンには、権限昇格の脆弱性が存在します。認証済み管理者は、移行サーバー機能を利用して、基盤となる XI ホスト上でルート権限を取得することができます。移行ワークフローを悪用することで、管理者レベルの攻撃者は、アプリケーションの意図されたセキュリティ範囲外でアクションを実行でき、結果としてオペレーティングシステムに対する完全な制御を得ることができます。