独立行政法人情報処理推進機構(IPA)および一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)は6月18日、ID リンク・マネージャーおよびFUJITSU Software TIME CREATORにおける複数の脆弱性について「Japan Vulnerability Notes(JVN)」で発表した。WithSecure KKのChristian Demko氏が報告を行っている。影響を受けるシステムは以下の通り。
・CVE-2024-33620
FUJITSU Business Application ID リンク・マネージャーII V1.8およびそれ以前のバージョン
FUJITSU Software ID リンク・マネージャー V2.0
FUJITSU Software TIME CREATOR ID リンク・マネージャー V2.3.0、V2.3.1、V2.4、V2.5、V2.6、V2.7
FUJITSU Software TIME CREATOR ID リンク・マネージャー V3.0、V3.0.2、V3.0.2.1、V3.0.3
・CVE-2024-33622、CVE-2024-34024
FUJITSU Business Application ID リンク・マネージャーII V1.8およびそれ以前のバージョン
FUJITSU Software ID リンク・マネージャー V2.0
FUJITSU Software TIME CREATOR ID リンク・マネージャー V2.3.0、V2.3.1、V2.4、V2.5、V2.6、V2.7
FUJITSU Software TIME CREATOR ID リンク・マネージャー V3.0、V3.0.2、V3.0.2.1、V3.0.3
FUJITSU Software TIME CREATOR ID リンク・マネージャー SaaS(2024年6月16日のメンテナンスより前のバージョン)
エフサステクノロジーズ株式会社が提供するID リンク・マネージャーおよびFUJITSU Software TIME CREATORには、下記の影響を受ける可能性がある複数の脆弱性が存在する。
・パストラバーサル(CVE-2024-33620)
→認証無しでサーバ上の機微な情報を含むファイルを参照される
・不適切な認証(CVE-2024-33622)
→機微な情報を取得されたり、データベース内の情報を改ざんされる
・情報漏えい(CVE-2024-34024)
→認証無しでユーザ名の有無を参照される
JVNでは、開発者が提供する情報をもとにパッチを適用するよう呼びかけている。なお、FUJITSU Software TIME CREATOR ID リンク・マネージャー SaaSについては、2024年6月16日のメンテナンスで修正済みとなっている。
