IBMは、アイデンティティ基盤製品のIBM Security Verify Access(ISVA)とIBM Verify Identity Access(IVIA)に関して複数の脆弱性を公表し、修正を含む最新のフィックスパックを提供しました。中でもCVE-2025-36356(CVSS 9.3)はローカル権限昇格の重大欠陥で、条件を満たすとroot権限まで奪取されるおそれがあります。稼働環境の安全性を確保するため、ISVA 10.0.9.0-IF3およびIVIA 11.0.1.0-IF1へのアップデートを直ちに進めてください。
対象製品と影響バージョン
影響を受けるのは、コンテナ版・アプライアンス版の双方です。
IBM Security Verify Accessは「10.0.0.0〜10.0.9.0-IF2」、IBM Verify Identity Accessは「11.0.0.0〜11.0.1.0」が範囲に含まれます。こ
れらのバージョンで運用している場合、未対策のままでは実害に直結するリスクが残ります。
対策バージョン
IBMは、ISVA向けに10.0.9.0-IF3、IVIA向けに11.0.1.0-IF1を公開しています。コンテナ運用ならIBMレジストリから最新タグを取得し、アプライアンス運用なら該当のフィックスパックを適用することで、今回の問題を解消できます。
脆弱性の内訳
最も深刻なのはCVE-2025-36356(CVSS 9.3/CWE-250)で、必要以上の権限で処理が実行される実装上の不備を突かれると、ローカル環境で認証を通った攻撃者がroot権限へ昇格できてしまいます。境界内に侵入された後の横展開を一気に許してしまう類型で、早急なパッチ適用が欠かせません。
CVE-2025-36355(CVSS 8.5/CWE-829)は、製品の管理外にある機能やスクリプトを取り込んでしまう恐れがある不備です。ローカル認証済みのユーザーであっても、制御外のスクリプトを実行できる状態は受容できず、環境によってはクライアント側のコード実行や想定外の振る舞いにつながります。
CVE-2025-36354(CVSS 7.3/CWE-78)は、ユーザー入力の検証不備が原因でOSコマンドインジェクションを許してしまう問題です。認証なしで到達可能な経路があると、低位権限とはいえ任意コマンドの実行を許し、サービス停止や初期侵入の足掛かりになり得ます。








