独立行政法人情報処理推進機構(IPA)および一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)は11月13日、プリザンターにおける複数の脆弱性について「Japan Vulnerability Notes(JVN)」で発表した。スズキ株式会社の佐藤信弥氏、株式会社ラックの大熊陽氏、株式会社FFRIセキュリティの都築陽一氏が報告を行っている。影響を受けるシステムは以下の通り。
・CVE-2023-34439、CVE-2023-45210、CVE-2023-46688
プリザンター 1.3.47.0 およびそれ以前のバージョン
・CVE-2023-41890
プリザンター 1.3.46.1 およびそれ以前のバージョンで SAML 認証を使用している場合
※Community Edition および Enterprise Edition のいずれも本脆弱性の影響を受ける。
株式会社インプリムが提供するプリザンターには、下記の影響を受ける可能性がある複数の脆弱性が存在する。
・格納型クロスサイトスクリプティング(CVE-2023-34439)
→当該製品のユーザのウェブブラウザ上で任意のスクリプトを実行される
・アクセス制限不備(CVE-2023-45210)
→当該製品のユーザによって、本来アクセスできない他のユーザがアップロードした一時ファイルを閲覧される
・オープンリダイレクト(CVE-2023-46688)
→特定の条件下において細工された URL にアクセスすることで、任意のウェブサイトにリダイレクトされる
・SAML による認証の回避(CVE-2023-41890)
→遠隔の第三者によって正規ユーザになりすまされ、当該製品を使用するシステムにログインされる
JVNでは、インプリムが提供する情報をもとに、最新版にアップデートするよう呼びかけている。なお本脆弱性は、下記のバージョンで修正されている。
・CVE-2023-34439、CVE-2023-45210、CVE-2023-46688
プリザンター 1.3.48.0
・CVE-2023-41890
プリザンター 1.3.47.0
