[English]
|
JVNDB-2024-000063
|
ID リンク・マネージャーおよびFUJITSU Software TIME CREATORにおける複数の脆弱性
|
エフサステクノロジーズ株式会社が提供するID リンク・マネージャーおよびFUJITSU Software TIME CREATORには、次の複数の脆弱性が存在します。
- パストラバーサル(CWE-36)- CVE-2024-33620
- 不適切な認証(CWE-306)- CVE-2024-33622
- 情報漏えい(CWE-204)- CVE-2024-34024
この脆弱性情報は、下記の方がJPCERT/CCに報告し、JPCERT/CCが開発者との調整を行いました。
報告者:WithSecure KK Christian Demko 氏
|
CVSS v3 による深刻度 基本値: 8.6 (重要) [IPA値]
- 攻撃元区分: ネットワーク
- 攻撃条件の複雑さ: 低
- 攻撃に必要な特権レベル: 不要
- 利用者の関与: 不要
- 影響の想定範囲: 変更あり
- 機密性への影響(C): 高
- 完全性への影響(I): なし
- 可用性への影響(A): なし
※上記は、CVE-2024-33620の評価になります。
|
CVSS v3 による深刻度
基本値:
5.4 (警告) [IPA値]
-
攻撃元区分: ネットワーク
-
攻撃条件の複雑さ: 低
-
攻撃に必要な特権レベル: 低
-
利用者の関与: 不要
-
影響の想定範囲: 変更なし
-
機密性への影響(C): 低
-
完全性への影響(I): 低
-
可用性への影響(A): なし
※上記は、CVE-2024-33622の評価になります。
|
CVSS v3 による深刻度
基本値:
5.3 (警告) [IPA値]
-
攻撃元区分: ネットワーク
-
攻撃条件の複雑さ: 低
-
攻撃に必要な特権レベル: 不要
-
利用者の関与: 不要
-
影響の想定範囲: 変更なし
-
機密性への影響(C): 低
-
完全性への影響(I): なし
-
可用性への影響(A): なし
※上記は、CVE-2024-34024の評価になります。
|
|
エフサステクノロジーズ株式会社
- FUJITSU Business Application ID リンク・マネージャーII V1.8およびそれ以前のバージョン(CVE-2024-33620、CVE-2024-33622、CVE-2024-34024)
- FUJITSU Software ID リンク・マネージャー V2.0(CVE-2024-33620、CVE-2024-33622、CVE-2024-34024)
- FUJITSU Software TIME CREATOR ID リンク・マネージャー V2.3.0、V2.3.1、V2.4、V2.5、V2.6、V2.7(CVE-2024-33620、CVE-2024-33622、CVE-2024-34024)
- FUJITSU Software TIME CREATOR ID リンク・マネージャー V3.0、V3.0.2、V3.0.2.1、V3.0.3(CVE-2024-33620、CVE-2024-33622、CVE-2024-34024)
- FUJITSU Software TIME CREATOR ID リンク・マネージャー SaaS(2024年6月16日のメンテナンスより前のバージョン)(CVE-2024-33622、CVE-2024-34024)
|
|
想定される影響は各脆弱性により異なりますが、次のような影響を受ける可能性があります。- 認証無しでサーバ上の機微な情報を含むファイルを参照される(CVE-2024-33620)
- 機微な情報を取得されたり、データベース内の情報を改ざんされる(CVE-2024-33622)
- 認証無しでユーザ名の有無を参照される(CVE-2024-34024)
|
[パッチを適用する]
ID リンク・マネージャーおよびFUJITSU Software TIME CREATORについては、開発者が提供する情報をもとに、パッチを適用してください。
FUJITSU Software TIME CREATOR ID リンク・マネージャー SaaSは2024年6月16日のメンテナンスで修正済みです。
|
エフサステクノロジーズ株式会社
|
- パス・トラバーサル(CWE-22) [IPA評価]
- 不適切な認証(CWE-287) [IPA評価]
- 情報漏えい(CWE-200) [IPA評価]
|
- CVE-2024-33620
- CVE-2024-33622
- CVE-2024-34024
|
- JVN : JVN#65171386
|
|