独立行政法人情報処理推進機構(IPA)および一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)は5月9日、MosP勤怠管理における複数の脆弱性について「Japan Vulnerability Notes(JVN)」で発表した。GMOサイバーセキュリティ byイエラエ株式会社の石井健太郎氏が報告を行っている。影響を受けるシステムは以下の通り。
MosP勤怠管理 v4.6.6 およびそれ以前のバージョン
合同会社エスマインドが提供するMosP勤怠管理には、下記の影響を受ける可能性がある複数の脆弱性が存在する。
・パストラバーサル(CVE-2024-28880)
→当該製品にログイン可能な攻撃者に当該製品の機微な情報を窃取される
・不適切なアクセス権限付加(CVE-2024-29078)
→当該製品にアクセス可能な攻撃者に当該製品の設定を変更される
JVNでは、開発者の提供する情報をもとに、最新版へアップデートするよう呼びかけている。
