◆概要
2020 年 11 月に Apache 財団のソフトウェア Apache Unomi に、遠隔から任意のコードが実行可能となる脆弱性が報告されています。攻撃者に脆弱性が悪用されてしまった場合は、Apache Unomi の実行権限で対象ホストに侵入されてしまう可能性があります。ソフトウェアのアップデートやアクセス制御などにより対策してください。
◆分析者コメント
ソフトウェアの性質的に、インターネット上に公開されている可能性が低いと考えられますが、認証なしで容易に遠隔コード実行が可能であるため、当該ソフトウェアを利用している場合はソフトウェアのアップデートにより早急に対策してください。アクセス制御の見直しも併せて推奨します。
◆深刻度(CVSS)
[CVSS v3.1]
9.8
https://nvd.nist.gov/vuln-metrics/cvss/v3-calculator?name=CVE-2020-13942&vector=AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H&version=3.1&source=NIST
◆影響を受けるソフトウェア
Apache Unomi のバージョン 1.5.1 およびそれよりも古いバージョンが当該脆弱性の影響を受けると報告されています(関連情報 [1])。
◆解説
Apache 財団による顧客管理ソフトウェアである Apache Unomi に、EL インジェクション(Expression Language Injection)により遠隔から任意のコードが実行可能となる脆弱性が報告されています。
2020 年 11 月に Apache 財団のソフトウェア Apache Unomi に、遠隔から任意のコードが実行可能となる脆弱性が報告されています。攻撃者に脆弱性が悪用されてしまった場合は、Apache Unomi の実行権限で対象ホストに侵入されてしまう可能性があります。ソフトウェアのアップデートやアクセス制御などにより対策してください。
◆分析者コメント
ソフトウェアの性質的に、インターネット上に公開されている可能性が低いと考えられますが、認証なしで容易に遠隔コード実行が可能であるため、当該ソフトウェアを利用している場合はソフトウェアのアップデートにより早急に対策してください。アクセス制御の見直しも併せて推奨します。
◆深刻度(CVSS)
[CVSS v3.1]
9.8
https://nvd.nist.gov/vuln-metrics/cvss/v3-calculator?name=CVE-2020-13942&vector=AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H&version=3.1&source=NIST
◆影響を受けるソフトウェア
Apache Unomi のバージョン 1.5.1 およびそれよりも古いバージョンが当該脆弱性の影響を受けると報告されています(関連情報 [1])。
◆解説
Apache 財団による顧客管理ソフトウェアである Apache Unomi に、EL インジェクション(Expression Language Injection)により遠隔から任意のコードが実行可能となる脆弱性が報告されています。
![[Internet Week 2016] 厳選セキュリティセッション 第3回 「実践インシデント対応 ~事故から学ぶ~ 」 日本シーサート協議会 庄司 朋隆 氏](/imgs/p/VBQCg88_AM0-DSZSF4-0dQsJwAfOBQQDAgEA/21309.jpg)
