Trusted Design

CVE-2024-49035 の詳細

CVEの情報

説明:
An improper access control vulnerability in Partner.Microsoft.com allows an a unauthenticated attacker to elevate privileges over a network.

CVE更新日: 2024-11-26 20:15:31.763000

CVSSバージョン: 3.1

CVSSスコア: 8.7

KEVの情報

KEV更新日: 2025-02-25

EPSSの情報

EPSSは脆弱性が今後30日以内に悪用される確率を予測するスコアリングシステムで、FIRST(Forum of Incident Response and Security Teams)が提供しています。
EPSSのスコアが高いということは、攻撃されるリスクが高いことを意味するので、早めの対策が必要です。

EPSSスコア: 0.061630000

EPSS更新日: 2026-04-16 00:00:00

SSVCの情報

SSVCはカーネギーメロン大学ソフトウェア工学研究所が提案する脆弱性の評価手法です。ステークホルダーごとに脆弱性対応の優先度を決定することを支援します。
本サイトでは、CVE、KEV、EPSSの内容からExploitation(悪用状況)、Technical Impact(技術的影響)、Automatable(自動攻撃の可否)を判定します。

Exploitation: active

Technical Impact: high

Automatable: False

AIを使った解説

解説:

CVE-2024-49035に関する脆弱性調査結果を以下の観点で解説します。

1. 脆弱性の概要

CVE-2024-49035は、Microsoft Partner Center (Partner.Microsoft.com) に存在する不適切なアクセス制御の脆弱性です。この脆弱性を悪用されると、認証されていない攻撃者がネットワーク経由で特権を昇格できる可能性があります。

1.1 影響 この脆弱性が悪用された場合、認証されていない攻撃者がネットワーク上で特権を昇格させ、機密性、完全性、可用性に高い影響を与える可能性があります。

1.2 深刻度 * CVSS v3.1 ベーススコア: 9.8 (緊急 - Critical) * CVSS v3.1 ベクター: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H * AV:N (Attack Vector: Network): ネットワーク経由で悪用可能です。 * AC:L (Attack Complexity: Low): 攻撃の複雑さは低いです。 * PR:N (Privileges Required: None): 攻撃に特権は必要ありません。 * UI:N (User Interaction: None): ユーザーの操作は必要ありません。 * S:U (Scope: Unchanged): 脆弱性のスコープは変更されません。 * C:H (Confidentiality Impact: High): 機密性への影響は高いです。 * I:H (Integrity Impact: High): 完全性への影響は高いです。 * A:H (Availability Impact: High): 可用性への影響は高いです。 * この脆弱性はCISAの「既知の悪用されている脆弱性カタログ (Known Exploited Vulnerabilities Catalog)」に追加されており、実際に悪用されていることが確認されています。

2. 対象となる環境

2.1 影響を受けるOSバージョン 検索結果では、特定のOSバージョンが直接影響を受けるとは記載されていません。この脆弱性は、サービスそのものに起因するものです。

2.2 影響を受ける設定 特定のシステム設定に関する情報は記載されていません。この脆弱性は、Microsoft Partner Centerにおける不適切なアクセス制御に起因します。

3. 影響を受けた時の兆候

この脆弱性は特権昇格に関するものであるため、悪用が成功した場合、攻撃者がMicrosoft Partner Center内で不正な、より高いレベルのアクセス権を取得する可能性があります。これにより、許可されていない変更、機密データへのアクセス、または昇格された特権を使用したその他の行為が行われる可能性があります。具体的な「兆候」については、詳細な情報は見つかっていません。

4. 推奨対策

4.1 本対策 * ベンダー (Microsoft) から正式な対策が公開されています。ベンダー情報を参照し、適切な対策を実施してください。 * Microsoft Security Update Guideを参照し、修正プログラムを適用することが推奨されます。

4.2 暫定回避策(緩和策) 検索結果には、ベンダーが提供するパッチ以外の具体的な暫定回避策や緩和策は記載されていません。この種のサービス側での脆弱性の場合、一時的な回避策がユーザー向けに提供されることは少ないです。CISAは、既知の悪用されている脆弱性カタログにこのCVEを含めており、迅速なパッチ適用を強く推奨しています。

その他解説すべき観点

  • 公開日: 2024年11月26日
  • 更新日: NVDでは2025年10月28日、CVEレコードでは2025年7月8日に更新されています。
  • CWE (共通脆弱性タイプ一覧): CWE-269 (不適切な権限管理 - Improper Privilege Management)

参照したサイト

  • ZCyber Security: CVE-2024-49035 Detailed Analysis 2025 | Improper Access Control Vulnerability Details & Impact
  • NVD: CVE-2024-49035 Detail
  • CVE Details: CVE-2024-49035 : An improper access control vulnerability in Partner.Microsoft.com allows an a un
  • Microsoft Corporation: CVE Record: CVE-2024-49035
  • IoT OT Security News: CVE-2024-49035 - IoT OT Security News
  • FMWORLD(法人): Windowsの脆弱性(2024年12月公開)に関するお知らせ
  • Tenable®: CVE-2024-49035 | Tenable®
  • JVN iPedia: JVNDB-2024-016475 - JVN iPedia - 脆弱性対策情報データベース

NVDサイト

NVDでCVEの詳細を見る

戻る