プリザンターにおけるクロスサイトスクリプティングの脆弱性
■概要
弊社製品「プリザンター」の全バージョンにおいてクロスサイトスクリプティングの脆弱性が存在することが判明しました。プリザンターへのリクエストを不正に改ざんすることで、利用ユーザの特定の操作において外部サイトへの誘導やスクリプトの不正実行ができる脆弱性が存在します。
この問題の影響を受けるプリザンターのバージョンを以下に示しますので、対策方法に記載する対応を実施してください。
■該当バージョンの確認方法
影響を受けるバージョンは以下の通りです。
・1.3.49.0以前の全てのバージョン
※CommunityEdition、EnterpriseEditionどちらも該当します。
※1.2版、1.1版、0.51版、0.50版、0.49版以前も該当します。
・バージョンの確認方法は以下のユーザマニュアルを参照願います。
FAQ:プリザンターのバージョンを確認したい
■脆弱性の説明および脆弱性がもたらす脅威
プリザンターへのリクエストを不正に改ざんしたリクエストを利用ユーザが意図せず実行した場合、特定の操作をした際に不正なスクリプトが実行される脆弱性が存在します。
攻撃者が設置したスクリプトにより、悪意のある外部サイトへ誘導されることがあります。また、プリザンターの管理者が攻撃者がスクリプトを設置したURLを開いた場合に、プリザンターの管理操作を意図せず実行させられる可能性があります。
■対策方法
・バージョン1.3.X、1.2.X、1.1.X、0.51.X、0.50.X、0.49.X以前をご利用のお客様
対策済の最新版である1.3.50.0以降(2023年12月13日リリース)にバージョンアップをしてください。
※バージョンアップをせずに対策するための個別パッチの提供はございません。
・専用環境ご利用のお客様
別途スケジュール調整の上速やかにバージョンアップいたします。(再起動が必要です)
■更新履歴
2024.1.15 この脆弱性情報を公開しました。
■連絡先
本件につきまして、ご不明な点がございましたら以下よりお問い合わせ下さい。
お問い合わせフォーム
https://pleasanter.org/contact/