JVNDB-2017-015265
|
AssetView for MacOS の「ファイル転送Webサービス」に複数の脆弱性
|
|
株式会社ハンモックが提供する AssetView for MacOS のサーバ側モジュールである「ファイル転送Webサービス」には、次の複数の脆弱性が存在します。
* ディレクトリトラバーサルの脆弱性 (CWE-22) - CVE-2017-2240
* SQL インジェクションの脆弱性 (CWE-89) - CVE-2017-2241
この脆弱性情報は、下記の方が JPCERT/CC に報告し、JPCERT/CC が開発者との調整を行いました。
報告者: 株式会社リクルートテクノロジーズ RECRUIT RED TEAM 西村宗晃 氏
|
|
CVSS v3 による深刻度
基本値: 6.3 (警告) [その他]
- 攻撃元区分: ネットワーク
- 攻撃条件の複雑さ: 低
- 攻撃に必要な特権レベル: 低
- 利用者の関与: 不要
- 影響の想定範囲: 変更なし
- 機密性への影響(C): 低
- 完全性への影響(I): 低
- 可用性への影響(A): 低
CVSS v2 による深刻度
基本値: 6.5 (警告) [その他]
- 攻撃元区分: ネットワーク
- 攻撃条件の複雑さ: 低
- 攻撃前の認証要否: 単一
- 機密性への影響(C): 部分的
- 完全性への影響(I): 部分的
- 可用性への影響(A): 部分的
※上記は、CVE-2017-2241 の評価になります。
|
CVSS v3 による深刻度
基本値:6.5 (警告) [その他]
- 攻撃元区分: ネットワーク
- 攻撃条件の複雑さ: 低
- 攻撃に必要な特権レベル: 低
- 利用者の関与: 不要
- 影響の想定範囲: 変更なし
- 機密性への影響(C): 高
- 完全性への影響(I): なし
- 可用性への影響(A): なし
CVSS v2 による深刻度
基本値: 4.0 (警告) [その他]
- 攻撃元区分: ネットワーク
- 攻撃条件の複雑さ: 低
- 攻撃前の認証要否: 単一
- 機密性への影響(C): 部分的
- 完全性への影響(I): なし
- 可用性への影響(A): なし
※上記は、CVE-2017-2240 の評価になります。
|
|
|
株式会社ハンモック
- AssetView for MacOS Ver.9.2.0 以前の全てのバージョン
|
|
|
想定される影響は各脆弱性により異なりますが、次のような影響を受ける可能性があります。
* 当該サーバにアクセス可能な攻撃者によって、任意のファイルを取得される - CVE-2017-2240
* 当該サーバにアクセス可能な攻撃者によって、当該サーバのデータベース上で任意の SQL 文を実行される - CVE-2017-2241
|
|
[パッチを適用する]
開発者が提供する 情報 をもとに、セキュリティ対策パッチ(AssetView ファイル転送WebサービスHotfix)を適用してください。
|
|
株式会社ハンモック
|
|
- パス・トラバーサル(CWE-22) [その他]
- SQLインジェクション(CWE-89) [その他]
|
|
- CVE-2017-2240
- CVE-2017-2241
|
|
- JVN : JVNVU#93377948
|
|
|
