製品・ソフトウェアに関する情報

JVN脆弱性詳細

Utimaco SecurityServer における重要なリソースに対する不適切なパーミッションの割り当てに関する脆弱性

Title	Utimaco SecurityServer における重要なリソースに対する不適切なパーミッションの割り当てに関する脆弱性
Summary	Utimaco SecurityServer には、重要なリソースに対する不適切なパーミッションの割り当てに関する脆弱性が存在します。
Possible impacts	情報を取得される、情報を改ざんされる、およびサービス運用妨害 (DoS) 状態にされる可能性があります。
Solution	ベンダ情報および参考情報を参照して適切な対策を実施してください。
Publication Date	Sept. 30, 2020, midnight
Registration Date	Dec. 13, 2021, 5:21 p.m.
Last Update	Dec. 13, 2021, 5:21 p.m.

Affected System

Utimaco

Utimaco Block-safe ファームウェア

Utimaco CryptoServer CP5 VS-NFD ファームウェア

Utimaco CryptoServer CP5 ファームウェア

Utimaco PaymentServer Hybrid ファームウェア

Utimaco PaymentServer ファームウェア

Utimaco SecurityServer ファームウェア 4.20.0.4

Utimaco SecurityServer ファームウェア 4.31.1.0

CVE (情報セキュリティ共通脆弱性識別子)

No	Name	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2020-26155	https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-26155
National Vulnerability Database (NVD)
2	CVE-2020-26155	https://nvd.nist.gov/vuln/detail/CVE-2020-26155

CWE (共通脆弱性タイプ一覧)

No	Name	URL
JVNDB
1	CWE-732	https://cwe.mitre.org/data/definitions/732.html

ベンダー情報

No	Name	URL
Utimaco
1	General Purpose Solutions	https://hsm.utimaco.com/products-hardware-security-modules/general-purpose-hsm/

その他

No	Name	URL
関連文書
1	Utimaco - CVE-2020-26155	https://secureyourit.co.uk/wp/2021/03/13/utimaco-cve-2020-26155/

Change Log

No	Changed Details	Date of change
1	[2021年12月13日] 掲載	Dec. 13, 2021, 5:21 p.m.

NVD Vulnerability Information

CVE-2020-26155

Summary	Multiple files and folders in Utimaco SecurityServer 4.20.0.4 and 4.31.1.0. are installed with Read/Write permissions for authenticated users, which allows for binaries to be manipulated by non-administrator users. Additionally, entries are made to the PATH environment variable which, in conjunction with these weak permissions, could enable an attacker to perform a DLL hijacking attack.
Publication Date	March 19, 2021, 2:15 a.m.
Registration Date	March 19, 2021, 10:01 a.m.
Last Update	Nov. 21, 2024, 2:19 p.m.

Affected software configurations

Configuration1		or higher	or less	more than	less than
cpe:2.3:o:utimaco:block-safe_firmware:2.0.0:::::::*
cpe:2.3:o:utimaco:block-safe_firmware:3.0.0:::::::*
cpe:2.3:o:utimaco:cryptoserver_cp5_firmware:5.0.0.0:::::::*
cpe:2.3:o:utimaco:cryptoserver_cp5_firmware:5.1.0.0:::::::*
cpe:2.3:o:utimaco:cryptoserver_cp5_vs-nfd_firmware:5.1.0.0:::::::*
cpe:2.3:o:utimaco:paymentserver_firmware::::::::		3.0	4.31.0
cpe:2.3:o:utimaco:paymentserver_hybrid_firmware::::::::		3.0	4.33.0
cpe:2.3:o:utimaco:securityserver_firmware::::::::		3.0	4.31.1
execution environment
1	cpe:2.3:o:microsoft:windows:-:::::::*

Related information, measures and tools

No	URL	タグ
1	https://hsm.utimaco.com/products-hardware-security-modules/general-purpose-hsm/	Exploit Vendor Advisory
2	https://hsm.utimaco.com/products-hardware-security-modules/general-purpose-hsm/	Exploit Vendor Advisory
3	https://secureyourit.co.uk/wp/2021/03/13/utimaco-cve-2020-26155/	Third Party Advisory
4	https://secureyourit.co.uk/wp/2021/03/13/utimaco-cve-2020-26155/	Third Party Advisory

Common Vulnerabilities List

No	CWE	Name	URL
1	CWE-732	重要なリソースに対する不適切なパーミッションの割り当て	https://cwe.mitre.org/data/definitions/732.html
2	CWE-427	制御されていない検索パスの要素	https://cwe.mitre.org/data/definitions/427.html