検出

Tenable Identity Exposure < 3.77.17 の複数の脆弱性 (TNS-2026-11)

high Nessus プラグイン ID 307436

Language:

概要

リモートホストで実行されているアイデンティティセキュリティおよび脅威検出プラットフォームは、複数の脆弱性の影響を受けます。

説明

リモートホストで実行されている Tenable Identity Exposure は、3.77.17 より前のバージョンです。したがって、アドバイザリ によると複数の脆弱性の影響を受けます TNS-2026-11

 - Node.js の Permissions モデルの欠陥により、攻撃者が細工された相対シンボリックリンクパスを使用して、--allow-fs-read および --allow-fs-write の制限をバイパスする可能性があります。ディレクトリとシンボリックリンクを連鎖させることにより、現在のディレクトリへのアクセスのみを許可されたスクリプトは、許可されたパスを回避して機密ファイルを読み取る可能性があります。これにより、期待される分離保証が破られ、任意のファイル読み書きが可能になり、システムの危険性が生じる可能性があります。CVE-2025-55130

 - SQL Server の指定されたタイプの入力の検証が不適切なために、認証された攻撃者がネットワークで権限を昇格する可能性があります。CVE-2026-26115

 - Curl のアクセスコントロールが不適切なために、認証された攻撃者がネットワークで権限を昇格する可能性があります。
 (CVE-2026-21262)

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

ソリューション

Tenable Identity Exposure をバージョン 3.77.17 以降にアップグレードしてください。

参考資料

https://www.tenable.com/security/tns-2026-11

プラグインの詳細

深刻度: High

ID: 307436

ファイル名: tenable_identity_exposure_3_77_17.nasl

バージョン: 1.2

タイプ: Combined

ファミリー: Misc.

公開日: 2026/4/18

更新日: 2026/4/20

設定: 徹底したチェックを有効にする (optional)

サポートされているセンサー: Nessus

リスク情報

VPR

リスクファクター: High

スコア: 7.4

CVSS v2

リスクファクター: High

基本値: 9.4

現状値: 7.4

ベクトル: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:N

CVSS スコアのソース: CVE-2025-55130

CVSS v3

リスクファクター: Critical

基本値: 9.1

現状値: 8.2

ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N

現状ベクトル: CVSS:3.0/E:P/RL:O/RC:C

CVSS v4

リスクファクター: High

Base Score: 7

Threat Score: 5

Threat Vector: CVSS:4.0/E:P

Vector: CVSS:4.0/AV:N/AC:H/AT:P/PR:N/UI:N/VC:N/VI:N/VA:N/SC:H/SI:H/SA:L

CVSS スコアのソース: CVE-2026-23941

脆弱性情報

CPE: cpe:/a:tenable:tenable_ad, cpe:/a:tenable:tenable_identity_exposure

必要な KB アイテム: installed_sw/Tenable.ad

エクスプロイトが利用可能: true

エクスプロイトの容易さ: Exploits are available

パッチ公開日: 2026/4/8

脆弱性公開日: 2026/4/14

参照情報

CVE: CVE-2025-55130, CVE-2025-55131, CVE-2025-55132, CVE-2025-59465, CVE-2025-59466, CVE-2026-1965, CVE-2026-21218, CVE-2026-21262, CVE-2026-21637, CVE-2026-21710, CVE-2026-21713, CVE-2026-21714, CVE-2026-21715, CVE-2026-21716, CVE-2026-21717, CVE-2026-23941, CVE-2026-23942, CVE-2026-23943, CVE-2026-26115, CVE-2026-26130, CVE-2026-3783, CVE-2026-3784, CVE-2026-3805

IAVA: 2026-A-0309