JVNDB-2026-004304

Icinga GmbHのIcingaにおける不適切なデフォルトパーミッションに関する脆弱性

Icinga 2はオープンソースの監視システムです。バージョン2.3.0から2.13.14、2.14.8、2.15.2の以前のバージョンにおいて、Icinga 2のMSIはWindows上の`%ProgramData%\icinga2\var`フォルダーに対して適切な権限を設定していませんでした。その結果、ユーザーの秘密鍵や同期された設定を含むフォルダーの内容がすべてのローカルユーザーによって読み取られる状態になっていました。Windows上のすべてのインストールに影響があります。バージョン2.13.14、2.14.8、2.15.2にはこの問題の修正が含まれています。Icinga 2をアップグレードせずに問題を回避する方法は2つあります。1つはWindows向けのIcingaを少なくともバージョンv1.13.4、v1.12.4、またはv1.11.2にアップグレードすることです。これらのバージョンではIcinga 2エージェントのACLも自動的に修正されます。もう1つは、`C:\ProgramData\icinga2\var`フォルダー（およびIcinga for Windowsの問題も修正するために`C:\Program Files\WindowsPowerShell\modules\icinga-powershell-framework\certificate`）のACLを手動で更新し、すべてのサブフォルダーとアイテムを含めて一般ユーザーのアクセスを制限し、Icingaサービスユーザーと管理者のみがアクセスできるようにすることです。

Icinga GmbH

• Icinga 2.14.0 以上 2.14.8 未満
• Icinga 2.15.0 以上 2.15.2 未満
• Icinga 2.3.0 以上 2.13.14 未満

本脆弱性の影響を受ける製品の詳細については、ベンダ情報および参考情報をご確認ください。

当該ソフトウェアが扱う全ての情報が外部に漏れる可能性があります。
また、当該ソフトウェアが扱う情報について、書き換えは発生しません。
さらに、当該ソフトウェアは停止しません。
そして、この脆弱性を悪用した攻撃の影響は、他のソフトウェアには及びません。

正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。

GitHub

• GitHub Advisory Database : Insecure permission of %ProgramData%\icinga2\var on Windows  Advisory  Icinga/icinga2  GitHub

1. 不適切なデフォルトパーミッション(CWE-276) [その他]

1. CVE-2026-24413

1. National Vulnerability Database (NVD) : CVE-2026-24413
2. 関連文書 : Releasing Icinga 2 v2.15.2, v2.14.8, v2.13.14 and Icinga for Windows v1.13.4, v1.12.4, v1.11.2

• [2026年02月20日]
    掲載