JVNVU#96369967
Oxford Nanopore Technologies製MinKNOWにおける複数の脆弱性

Oxford Nanopore Technologiesが提供するMinKNOWには、複数の脆弱性が存在します。

CVE-2024-35585

• MinKNOW 24.06より前のバージョン

• MinKNOW 24.11より前のバージョン

Oxford Nanopore Technologiesが提供するMinKNOWには、次の複数の脆弱性が存在します。

• 重要な機能に対する認証の欠如（CWE-306）
  • CVE-2024-35585
• 認証情報の不十分な保護（CWE-522）
  • CVE-2025-54808
• 例外的状況に対する確認が不十分（CWE-754）
  • CVE-2025-10937

脆弱性を悪用された場合、次のような影響を受ける可能性があります。

• 同一ネットワーク上の権限のないユーザーによってシーケンサーにアクセスされる
  また、MinKNOWアプリケーションを介して接続された場合はシーケンスアクティビティを監視されたり、データ収集を停止され、出力データを別の場所にリダイレクトされたりする（CVE-2024-35585）
• リモートアクセスが有効化されている場合、ローカルユーザーまたはアプリケーションによってトークンにアクセスされ、任意の有効期限でトークンを作成されてシーケンサーに永続的にアクセスされる（CVE-2025-54808）
• トークン生成プロセスを完了できないようにされ、サービス運用妨害（DoS）状態にされる（CVE-2025-10937）

アップデートする
開発者は、アップデートを提供しています。

ワークアラウンドを実施する
開発者は、アップデートが適用できない場合、ワークアラウンドの適用を推奨しています。

詳細は、ICS Medical Advisoryおよび開発者が提供する情報を確認してください。