プリザンターに複数の脆弱性 | ScanNetSecurity
2024.06.22(土)

プリザンターに複数の脆弱性

独立行政法人情報処理推進機構(IPA)および一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)は11月13日、プリザンターにおける複数の脆弱性について「Japan Vulnerability Notes(JVN)」で発表した。

脆弱性と脅威 セキュリティホール・脆弱性

 独立行政法人情報処理推進機構(IPA)および一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)は11月13日、プリザンターにおける複数の脆弱性について「Japan Vulnerability Notes(JVN)」で発表した。スズキ株式会社の佐藤信弥氏、株式会社ラックの大熊陽氏、株式会社FFRIセキュリティの都築陽一氏が報告を行っている。影響を受けるシステムは以下の通り。

・CVE-2023-34439、CVE-2023-45210、CVE-2023-46688
プリザンター 1.3.47.0 およびそれ以前のバージョン

・CVE-2023-41890
プリザンター 1.3.46.1 およびそれ以前のバージョンで SAML 認証を使用している場合

※Community Edition および Enterprise Edition のいずれも本脆弱性の影響を受ける。

 株式会社インプリムが提供するプリザンターには、下記の影響を受ける可能性がある複数の脆弱性が存在する。

・格納型クロスサイトスクリプティング(CVE-2023-34439)
→当該製品のユーザのウェブブラウザ上で任意のスクリプトを実行される

・アクセス制限不備(CVE-2023-45210)
→当該製品のユーザによって、本来アクセスできない他のユーザがアップロードした一時ファイルを閲覧される

・オープンリダイレクト(CVE-2023-46688)
→特定の条件下において細工された URL にアクセスすることで、任意のウェブサイトにリダイレクトされる

・SAML による認証の回避(CVE-2023-41890)
→遠隔の第三者によって正規ユーザになりすまされ、当該製品を使用するシステムにログインされる

 JVNでは、インプリムが提供する情報をもとに、最新版にアップデートするよう呼びかけている。なお本脆弱性は、下記のバージョンで修正されている。

・CVE-2023-34439、CVE-2023-45210、CVE-2023-46688
プリザンター 1.3.48.0

・CVE-2023-41890
プリザンター 1.3.47.0

《ScanNetSecurity》

関連記事

特集

PageTop

アクセスランキング

  1. グリコの基幹システム障害、一部商品出荷を 6 / 25 以降再開

    グリコの基幹システム障害、一部商品出荷を 6 / 25 以降再開

  2. 「プレミアムバンダイ」会員情報漏えいの可能性、委託先従業員が私物ハードディスクを使用

    「プレミアムバンダイ」会員情報漏えいの可能性、委託先従業員が私物ハードディスクを使用

  3. フジクラのタイ子会社に不正アクセス、国際ネットワーク経由で日本のグループ各社のサーバにも痕跡

    フジクラのタイ子会社に不正アクセス、国際ネットワーク経由で日本のグループ各社のサーバにも痕跡

  4. セキュリティ企業の セキュリティ企業による セキュリティ企業のための投資ファンド ~ GSX 青柳史郎が語る「日本サイバーセキュリティファンド」設立趣旨

    セキュリティ企業の セキュリティ企業による セキュリティ企業のための投資ファンド ~ GSX 青柳史郎が語る「日本サイバーセキュリティファンド」設立趣旨PR

  5. 横浜国立大学 学生間でメールアドレスが閲覧可能に 1万人利用可のクラウドサービスで

    横浜国立大学 学生間でメールアドレスが閲覧可能に 1万人利用可のクラウドサービスで

  6. 杏林大学職員 詐欺サイト クリックしたら不正アクセス被害

    杏林大学職員 詐欺サイト クリックしたら不正アクセス被害

  7. 今日もどこかで情報漏えい 第25回「2024年5月の情報漏えい」“いたずらに混乱” しているのはおまえらでは

    今日もどこかで情報漏えい 第25回「2024年5月の情報漏えい」“いたずらに混乱” しているのはおまえらでは

  8. ID リンク・マネージャーおよびFUJITSU Software TIME CREATORに複数の脆弱性

    ID リンク・マネージャーおよびFUJITSU Software TIME CREATORに複数の脆弱性

  9. イセトーにランサムウェア攻撃、阿波銀行・藤沢市・茅ヶ崎市にも影響

    イセトーにランサムウェア攻撃、阿波銀行・藤沢市・茅ヶ崎市にも影響

  10. 約 30 名の学生がフィッシング被害に ~ 明治薬科大学教員の M365 アカウントに不正アクセス

    約 30 名の学生がフィッシング被害に ~ 明治薬科大学教員の M365 アカウントに不正アクセス

ランキングをもっと見る