2Nは2N Access Commander向けに新たなCVEを公開した。

発見された脆弱性について

脆弱性は2N Access Commanderに影響を及ぼし、調整された開示プロセスを通じて特定された。

特定された問題に対して、以下のCVEが割り当てられている：

• CVE-2025-59783 – API経由のOSコマンドインジェクション
• CVE-2025-59784 – ログ汚染 - エスケープされていない制御文字
• CVE-2025-59785 – API - 不十分な入力検証
• CVE-2025-59786 – ログアウト時およびパスワード変更時にクッキーが無効化されない
• CVE-2025-59787 – HTTP 5XX 内部サーバーエラー

各CVEレコードには、問題の標準化された説明と、関連するアドバイザリ及び修正ガイダンスへの参照が含まれている。

アマゾンセキュリティチームがこれらの問題を2Nに直接責任を持って報告してくれたことに、心より感謝する。特に、アマゾンセキュリティのケビン・シャラーとドミニク・シュナイダーには、開示プロセス全体を通じて専門的な協力をしてくれたことに感謝する。

2Nは、当社製品、ソリューション、サービス全体で最高水準のセキュリティを維持するために協力してくれる研究者やセキュリティチームに心から感謝している。責任ある開示とセキュリティコミュニティとの強力な協力は、顧客を保護するために不可欠である。

安全と透明性への取り組み

これらの5つのCVEを2N CNAアカウントで公開することは、脆弱性管理プロセスの強化と、顧客およびパートナーとの透明性のあるコミュニケーションを確保する上で重要な節目となる。

我々は2N製品のセキュリティ態勢を継続的に改善し、報告された問題に迅速に対応することを約束する。

簡単な復習：CVEとCNAとは何か？

CVE（Common Vulnerabilities and Exposures）は、公に開示されたサイバーセキュリティの脆弱性を特定し分類するための、世界的に認知されたシステムである。各CVEレコードは標準化された参照情報を提供し、組織、セキュリティ専門家、ベンダーが脆弱性管理と修正作業を調整するのに役立つ。

CNA（CVE番号付与機関）とは、自社の製品に影響を与える脆弱性、または自社の範囲内の脆弱性にCVE識別子を割り当てる権限を持つ組織である。これらのCVEを2N CNAアカウントで直接公開することで、脆弱性管理と責任ある開示に対する我々の積極的な取り組みを強化している。

もっと詳しく知る

詳細な技術情報、影響を受けるバージョン、回避策、および発見された脆弱性の完全なリストについては、セキュリティアドバイザリページを参照のこと。

個々の脆弱性への対応に加え、当社は継続的に広範なサイバーセキュリティ教育とベストプラクティスへの投資を行い、顧客が全体的なセキュリティ耐性を強化できるよう支援している。製品セキュリティへの総合的な取り組み、サイバーセキュリティの原則、実践的な推奨事項について詳しく知りたい場合は、当社のサイバーセキュリティページを訪問し、サイバーセキュリティeBookをダウンロードすることをお勧めする。そこにはシステムセキュリティを強化するための実践的なガイダンスとベストプラクティスが掲載されている。