「Proself」における XML 外部実体参照 (XXE) に関する脆弱性について(JVN#95981460)

ad

2023-10-26 情報処理推進機構

注釈:最新情報は、JVN iPedia(JVN#95981460)をご覧ください。

概要

株式会社ノースグリッドが提供する「Proself」は、オンラインストレージ構築パッケージです。「Proself」には、XML 外部実体参照 (XXE) に関する脆弱性が存在します。
細工されたリクエストに含まれる不正な XML データを当該製品が処理することで、サーバ上のアカウント情報を含む任意のファイルを窃取される可能性があります。

同脆弱性を悪用する攻撃がすでに確認されているため、できるだけ早急に、製品開発者が提供する情報をもとに、アップデートするか、ワークアラウンドを実施してください。

本脆弱性の深刻度

脆弱性の深刻度は共通脆弱性評価システムCVSS v3とCVSS v2に基づいて定めている。

本脆弱性のCVSS v3深刻度
重要
本脆弱性のCVSS v3基本値
7.5
本脆弱性のCVSS v2深刻度
II(警告)
本脆弱性のCVSS v2基本値
5.0

対象

次の製品が対象です。

  • Proself Enterprise Edition Ver5.62 およびそれ以前
  • Proself Standard Edition Ver5.62 およびそれ以前
  • Proself Gateway Edition Ver1.65 およびそれ以前
  • Proself Mail Sanitize Edition Ver1.08 およびそれ以前

開発者によると、Proself の全てのエディション、およびバージョンが本脆弱性の影響を受けるとのことです。

対策

アップデートする

開発者が提供する情報をもとに、最新版へアップデートしてください。

  • Proself Enterprise Edition Ver5.63
  • Proself Standard Edition Ver5.63

— 2023 年 10 月 26 日更新 —

  • Proself Gateway Edition Ver1.66
  • Proself Mail Sanitize Edition Ver1.09

詳しくは、開発者が提供する下記サイトの情報をご確認ください。

ワークアラウンドを実施する

開発者によると、アップデート版を適用するまでの間、暫定対応を実施することで、本脆弱性の影響を回避することが可能とのことです。
詳細は開発者が提供する情報を確認してください。

現行製品の利用を停止し、後続製品に乗り換える

次のバージョンではサポートが終了しており、アップデートはリリースされないため、利用を停止するか Ver.5 以降の後継製品への乗り換えを検討してください。
・Proself Enterprise/Standard Edition Ver.4 およびそれ以前

参考情報

  • 「情報セキュリティ早期警戒パートナーシップ」について
    この脆弱性情報は、製品利用者への周知を目的に、開発者が JPCERT/CC に報告し、JPCERT/CC が開発者との調整を行いました。詳細は、下記の URL を参照ください

お問い合わせ先

IPA セキュリティセンター

注釈:個別製品の脆弱性情報の詳細につきましては、製品開発者にお問い合わせください。

更新履歴

  • 2023年10月26日 「対策」の内容を更新
  • 2023年10月18日  掲載
1602ソフトウェア工学
ad
ad
Follow
ad
タイトルとURLをコピーしました