JVNDB-2024-000063

ID リンク・マネージャーおよびFUJITSU Software TIME CREATORにおける複数の脆弱性

エフサステクノロジーズ株式会社が提供するID リンク・マネージャーおよびFUJITSU Software TIME CREATORには、次の複数の脆弱性が存在します。

• パストラバーサル（CWE-36）- CVE-2024-33620
• 不適切な認証（CWE-306）- CVE-2024-33622
• 情報漏えい（CWE-204）- CVE-2024-34024

この脆弱性情報は、下記の方がJPCERT/CCに報告し、JPCERT/CCが開発者との調整を行いました。
報告者：WithSecure KK Christian Demko 氏

エフサステクノロジーズ株式会社

• FUJITSU Business Application ID リンク・マネージャーII V1.8およびそれ以前のバージョン(CVE-2024-33620、CVE-2024-33622、CVE-2024-34024)
• FUJITSU Software ID リンク・マネージャー V2.0(CVE-2024-33620、CVE-2024-33622、CVE-2024-34024)
• FUJITSU Software TIME CREATOR ID リンク・マネージャー V2.3.0、V2.3.1、V2.4、V2.5、V2.6、V2.7(CVE-2024-33620、CVE-2024-33622、CVE-2024-34024)
• FUJITSU Software TIME CREATOR ID リンク・マネージャー V3.0、V3.0.2、V3.0.2.1、V3.0.3(CVE-2024-33620、CVE-2024-33622、CVE-2024-34024)
• FUJITSU Software TIME CREATOR ID リンク・マネージャー SaaS（2024年6月16日のメンテナンスより前のバージョン）(CVE-2024-33622、CVE-2024-34024)

想定される影響は各脆弱性により異なりますが、次のような影響を受ける可能性があります。

• 認証無しでサーバ上の機微な情報を含むファイルを参照される（CVE-2024-33620）
• 機微な情報を取得されたり、データベース内の情報を改ざんされる（CVE-2024-33622）
• 認証無しでユーザ名の有無を参照される（CVE-2024-34024）

[パッチを適用する]
ID リンク・マネージャーおよびFUJITSU Software TIME CREATORについては、開発者が提供する情報をもとに、パッチを適用してください。

FUJITSU Software TIME CREATOR ID リンク・マネージャー SaaSは2024年6月16日のメンテナンスで修正済みです。

エフサステクノロジーズ株式会社

• JVN : エフサステクノロジーズ株式会社からの情報
• エフサステクノロジーズ株式会社 : TIME CREATORの脆弱性に関するお知らせ

1. パス・トラバーサル(CWE-22) [IPA評価]
2. 不適切な認証(CWE-287) [IPA評価]
3. 情報漏えい(CWE-200) [IPA評価]

1. CVE-2024-33620
2. CVE-2024-33622
3. CVE-2024-34024

1. JVN : JVN#65171386

• [2024年6月18日]
    掲載