プリザンターにおけるクロスサイトスクリプティングおよびディレクトリトラバーサルの脆弱性
■概要
弊社製品「プリザンター」の全バージョンにおいてクロスサイトスクリプティングおよびディレクトリトラバーサルの脆弱性が存在することが判明しました。この脆弱性を悪用された場合、悪意ある第三者の攻撃により、外部の不正なサイトへの誘導やプリザンターに登録しているデータの情報漏洩や改ざんの危険性があります。
この問題の影響を受けるプリザンターのバージョンを以下に示しますので、対策方法に記載する対応を実施してください。
■該当バージョンの確認方法
影響を受けるバージョンは以下の通りです。
・1.3.39.2以前の全てのバージョン
※CommnunityEdition、EnterpriseEditionどちらも該当します。
※1.2版、1.1版、0.51版、0.50版、0.49版以前も該当します。
・バージョンの確認方法は以下のユーザマニュアルを参照願います。
「FAQ:プリザンターのバージョンを確認したい」
■脆弱性の説明
ログインした一般ユーザが、内容、説明項目、コメント等に画像を張り付ける際、および添付項目にファイルを添付する際のリクエストを不正に改ざんすることで、外部サイトへの誘導やプリザンターが提供するスクリプトの実行、および予期しないフォルダへのファイルアップロードができる脆弱性が存在します。プリザンターにログインできない匿名ユーザは本脆弱性を用いた攻撃はできません。
■脆弱性がもたらす脅威
攻撃者が設置したスクリプトにより、悪意のある外部サイトへの誘導や、プリザンターの管理者が攻撃者がスクリプトを設置したページを開いた場合にプリザンターの管理操作を意図せず実行させられる可能性があります。また、予期しないフォルダへファイルを保存することができます。
■対策方法
・バージョン1.3.X、1.2.X、1.1.X、0.51.X、0.50.X、0.49.X以前をご利用のお客様
対策済の最新版である1.3.40.0以降(2023年6月6日リリース)にバージョンアップをしてください。
※バージョンアップをせずに対策するための個別パッチの提供はございません。
・専用環境ご利用のお客様
別途スケジュール調整の上速やかにバージョンアップいたします。(再起動が必要です)
■更新履歴
2023.6.22 この脆弱性情報を公開しました。
■連絡先
本件につきまして、ご不明な点がございましたら以下よりお問い合わせ下さい。
お問い合わせフォーム
https://pleasanter.org/contact/