🔴 重要情報セキュリティ
JVN、Siemens脆弱性公表方法変更とOpenSSL等に新脆弱性
共有:
広告
要約
JVNは2026年4月15日より、Siemens製品のセキュリティアドバイザリ公表方法を変更すると発表しました。同月内の情報を集約し、更新情報を追記しない方針となり、ユーザーは情報収集方法の見直しが必要です。また、オムロン製UPS管理アプリケーション、Webアプリケーション「GROWI」、およびOpenSSLに複数の新たな脆弱性が報告されており、早急な対応が求められます。
ポイント
- 12026年4月15日以降、JVNはSiemens製品のセキュリティアドバイザリについて、同月に公表・更新された情報を1件のJVNアドバイザリにまとめ、公表済みアドバイザリの更新は行わない方針に変更しました。これにより、ユーザーはSiemens製品の脆弱性情報を追跡する際に注意が必要です。
- 2オムロン製無停電電源装置(UPS)管理アプリケーション「PowerAttendant Standard Edition(Windows版) Ver.2.1.2およびそれ以前」にDLL読み込みに関する脆弱性(JVNVU#94583735, CVE-2026-5397)が発見され、管理者権限で任意のコードを実行される恐れがあるため、速やかなアップデートが必要です。
- 3Webアプリケーション「GROWI v7.4.6 およびそれより前のバージョン」に格納型クロスサイトスクリプティングの脆弱性(JVN#62079296, CVE-2026-26291)が存在し、任意のスクリプトを実行される可能性があるため、v7.4.7へのアップデートが推奨されます。
- 4OpenSSLに複数の脆弱性(JVNVU#96083153, CVE-2026-31790他)が報告されており、情報漏えいやサービス運用妨害(DoS)、任意のコード実行の恐れがあるため、OpenSSL 3.6.2、3.5.6、3.4.5、3.3.7、3.0.20、1.1.1zg、1.0.2zpなど、各バージョンに応じた最新版へのアップデートが急務です。
- 5その他、Dynabook製Bluetooth ACPIドライバー、複数の三菱電機製品、Xerox FreeFlow Coreなど、広範な製品で新たな脆弱性が確認されており、関連製品の利用者は各ベンダーからの情報を確認し、適切な対策を講じる必要があります。
💡インサイト
JVNによるSiemens製品の脆弱性情報公開方法の変更は、脆弱性管理の複雑化と、各企業による主体的な情報収集の必要性が高まっている現状を象徴しています。OpenSSLや産業制御システム(ICS)など、サプライチェーンの根幹をなす領域で脆弱性が頻発しており、これは「情報セキュリティ10大脅威」で常に上位に挙げられるサプライチェーンリスクの深刻さを裏付けています。 企業はもはや単一の情報源に頼るのではなく、ベンダーからの直接情報や脅威インテリジェンスサービスを組み合わせ、脆弱性管理ツールなどを活用した能動的な対策が不可欠です。 この動向は、セキュリティ運用の自動化やAIを活用したリスク分析ソリューションの需要を加速させ、よりプロアクティブなリスク管理体制への移行を促すでしょう。
#脆弱性#セキュリティ#Siemens#OpenSSL#オムロン#GROWI#JPCERT/CC#IPA
ソースURL
https://jvn.jp/広告
共有:
このようなニュースを自動で受け取りませんか?
気になるWebページを登録するだけで、変更をAIが記事にしてお届けします
無料で始める