概要
Gallagher Morpho Command Centre Serverにおいて、不適切なロック処理(CWE-667)に起因するサービス拒否(Denial-of-Service)の脆弱性(CVE-2026-20757)が報告されました。この脆弱性が悪用された場合、特権を持つオペレーターによってCommand Centre Serverが限定的なサービス拒否状態に陥る可能性があります。
影響範囲
この脆弱性の影響を受けるのは、以下のGallagher Command Centre Serverのバージョンです。
- Command Centre Server 9.40 (vEL9.40.1976(MR1)より前のバージョン)
- Command Centre Server 9.30 (vEL9.30.3382 (MR4)より前のバージョン)
- Command Centre Server 9.20 (vEL9.20.3783 (MR6)より前のバージョン)
- Command Centre Server 9.10 (vEL9.10.4647 (MR9)より前のバージョン)
- Command Centre Server 9.00 およびそれ以前の全てのバージョン
想定される影響
特権を持つオペレーターによってこの脆弱性が悪用された場合、Command Centre Serverが限定的なサービス拒否状態に陥る可能性があります。これにより、システムの一部機能が一時的に利用できなくなる、または応答が遅延するなどの影響が考えられます。ただし、報告されている情報によると、影響は「限定的」とされています。
攻撃成立条件・悪用状況
この脆弱性を悪用するには、「privileged operator」(特権を持つオペレーター)である必要があります。これは、システムに対する一定のアクセス権限を持つ内部関係者、またはすでにシステムに侵入している攻撃者によって引き起こされる可能性があることを示唆しています。現時点では、この脆弱性が実際に悪用されたという報告は確認されていません。
推奨対策
今すぐできる対策(最優先)
- Gallagher社から提供される修正パッチを適用してください。影響を受ける各バージョンに対応する最新の修正バージョンへのアップデートが強く推奨されます。具体的には、Command Centre Server 9.40はvEL9.40.1976(MR1)以降、9.30はvEL9.30.3382 (MR4)以降、9.20はvEL9.20.3783 (MR6)以降、9.10はvEL9.10.4647 (MR9)以降へのアップデートを検討してください。
中長期的な対策
- システムへのアクセス権限を最小限に抑える「最小権限の原則」を徹底し、特権アカウントの管理を厳格化してください。
- 定期的にシステムの脆弱性診断を実施し、潜在的なリスクを早期に発見・対処する体制を構築してください。
一時的な緩和策
現時点では、この脆弱性に対する具体的な一時的な緩和策は報告されていません。ベンダーからの修正パッチの適用が最も確実な対策と考えられます。
確認方法
ご使用のGallagher Command Centre Serverのバージョンが、上記「影響範囲」に記載されたバージョンに該当するかを確認してください。ベンダーの公式情報を参照し、修正パッチが適用されているか、または適用可能かを確認することが重要です。
参考情報
- CVEfeed.io: CVE-2026-20757 – Gallagher Morpho Command Centre Server Denial-of-Service Vulnerability
https://cvefeed.io/vuln/detail/CVE-2026-20757