|
[English]
|
JVNDB-2023-000079
|
SIG情報連携ポータルの API における複数の脆弱性
|
|
一般社団法人JPCERTコーディネーションセンターが提供する SIG情報連携ポータルの 「SOC間連携API」 には、次の複数の脆弱性が存在します。- 「情報提供機能」における認可処理の不備 (CWE-285) - CVE-2023-38751
- 「情報提供機能」および「グループメッセージ機能」における認可処理の不備 (CWE-285) - CVE-2023-38752
この脆弱性情報は、製品利用者への周知を目的に、開発者と下記の方が連携して JPCERT/CC に報告し、JPCERT/CC が開発者との調整を行いました。
報告者: 一般社団法人JPCERTコーディネーションセンター 情報基盤サービスグループ 根岸祐介 氏
|
|
CVSS v3 による深刻度
基本値: 3.5 (注意) [IPA値]
- 攻撃元区分: ネットワーク
- 攻撃条件の複雑さ: 低
- 攻撃に必要な特権レベル: 低
- 利用者の関与: 要
- 影響の想定範囲: 変更なし
- 機密性への影響(C): 低
- 完全性への影響(I): なし
- 可用性への影響(A): なし
CVSS v2 による深刻度
基本値: 4.0 (警告) [IPA値]
- 攻撃元区分: ネットワーク
- 攻撃条件の複雑さ: 低
- 攻撃前の認証要否: 単一
- 機密性への影響(C): 部分的
- 完全性への影響(I): なし
- 可用性への影響(A): なし
※上記は、CVE-2023-38751の評価になります。
|
CVSS v3 による深刻度
基本値:
3.5 (注意) [IPA値]
-
攻撃元区分: ネットワーク
-
攻撃条件の複雑さ: 低
-
攻撃に必要な特権レベル: 低
-
利用者の関与: 要
-
影響の想定範囲: 変更なし
-
機密性への影響(C): 低
-
完全性への影響(I): なし
-
可用性への影響(A): なし
CVSS v2 による深刻度基本値:
4.0 (警告)
[IPA値]
-
攻撃元区分: ネットワーク
-
攻撃条件の複雑さ: 低
-
攻撃前の認証要否: 単一
-
機密性への影響(C): 部分的
-
完全性への影響(I): なし
-
可用性への影響(A): なし
※上記は、CVE-2023-38752の評価になります。
|
|
|
一般社団法人JPCERTコーディネーションセンター
- SIG情報連携ポータル バージョン 4.4.0 から 4.7.7 まで
|
|
|
想定される影響は各脆弱性により異なりますが、次のような影響を受ける可能性があります。- 情報提供操作時に非開示指定された情報提供先の組織情報が、API の利用権限を有するユーザーによって閲覧可能となる - CVE-2023-38751
- システム設定により非開示指定された投稿者の属性情報が、API の利用権限を有するユーザーによって閲覧可能となる - CVE-2023-38752
|
|
[パッチを適用する]
開発者が提供する情報をもとにパッチを適用してください。
詳細は、開発者に確認してください。
[ワークアラウンドを実施する]
パッチを適用できない場合には、次の回避策を適用することで、本脆弱性の影響を回避することが可能です。
|
|
一般社団法人JPCERTコーディネーションセンター
|
|
- その他(CWE-Other) [IPA評価]
|
|
- CVE-2023-38751
- CVE-2023-38752
|
|
- JVN : JVN#83334799
- National Vulnerability Database (NVD) : CVE-2023-38751
- National Vulnerability Database (NVD) : CVE-2023-38752
|
|
- [2023年08月07日]
掲載
- [2024年03月28日]
参考情報:National Vulnerability Database (NVD) (CVE-2023-38751) を追加
参考情報:National Vulnerability Database (NVD) (CVE-2023-38752) を追加
|
