製品・ソフトウェアに関する情報
FortraのCore Privileged Access ManagerにおけるOS コマンドインジェクションの脆弱性
Title FortraのCore Privileged Access ManagerにおけるOS コマンドインジェクションの脆弱性
Summary

FortraのCore Privileged Access Manager (BoKS)には、boks_autoregisterdサービスにOSコマンドインジェクションの脆弱性が存在します。ネットワーク経由でこのサービスにアクセスできるリモート攻撃者は、自動登録処理中にサービスの権限で任意のコマンドを実行させる可能性があります。

Possible impacts ・当該ソフトウェアが扱う全ての情報が外部に漏れる可能性があります。 ・当該ソフトウェアが扱う全ての情報が書き換えられる可能性があります。 ・当該ソフトウェアが完全に停止する可能性があります。 
Solution

ベンダ情報を参照して適切な対策を実施してください。

Publication Date June 15, 2026, midnight
Registration Date July 13, 2026, 11:41 a.m.
Last Update July 13, 2026, 11:41 a.m.
CVSS3.0 : 緊急
Score 9.8
Vector CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Affected System
Fortra
Core Privileged Access Manager 8.1.0.0 から 8.1.0.22
Core Privileged Access Manager 9.0.0.0 から 9.0.0.4
CVE (情報セキュリティ 共通脆弱性識別子)
CWE (共通脆弱性タイプ一覧)
ベンダー情報
Change Log
No Changed Details Date of change
1 [2026年07月13日]
  掲載
July 13, 2026, 11:41 a.m.

NVD Vulnerability Information
CVE-2026-9862
Summary

Fortra's 
Core Privileged Access Manager (BoKS) contains an OS command injection vulnerability in the boks_autoregisterd service. A remote attacker with network access to the service may be able to cause commands to be executed with the privileges of the service during the autoregistration processing.

Publication Date June 16, 2026, 1:16 a.m.
Registration Date June 16, 2026, 4:12 a.m.
Last Update June 16, 2026, 1:16 a.m.
Related information, measures and tools
Common Vulnerabilities List