製品・ソフトウェアに関する情報
ID リンク・マネージャーおよびFUJITSU Software TIME CREATORにおける複数の脆弱性
Title ID リンク・マネージャーおよびFUJITSU Software TIME CREATORにおける複数の脆弱性
Summary

エフサステクノロジーズ株式会社が提供するID リンク・マネージャーおよびFUJITSU Software TIME CREATORには、次の複数の脆弱性が存在します。 <ul><li>パストラバーサル(CWE-36)- CVE-2024-33620</li><li>不適切な認証(CWE-306)- CVE-2024-33622</li><li>情報漏えい(CWE-204)- CVE-2024-34024</li></ul> この脆弱性情報は、下記の方がJPCERT/CCに報告し、JPCERT/CCが開発者との調整を行いました。 報告者:WithSecure KK Christian Demko 氏

Possible impacts 想定される影響は各脆弱性により異なりますが、次のような影響を受ける可能性があります。<ul><li>認証無しでサーバ上の機微な情報を含むファイルを参照される(CVE-2024-33620)</li><li>機微な情報を取得されたり、データベース内の情報を改ざんされる(CVE-2024-33622)</li><li>認証無しでユーザ名の有無を参照される(CVE-2024-34024)</li></ul>
Solution

[パッチを適用する] ID リンク・マネージャーおよびFUJITSU Software TIME CREATORについては、開発者が提供する情報をもとに、パッチを適用してください。 FUJITSU Software TIME CREATOR ID リンク・マネージャー SaaSは2024年6月16日のメンテナンスで修正済みです。

Publication Date June 18, 2024, midnight
Registration Date June 18, 2024, 12:10 p.m.
Last Update June 18, 2024, 12:10 p.m.
CVSS3.0 : 重要
Score 8.6
Vector CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:N/A:N
Affected System
エフサステクノロジーズ株式会社
FUJITSU Business Application ID リンク・マネージャーII V1.8およびそれ以前のバージョン(CVE-2024-33620、CVE-2024-33622、CVE-2024-34024)
FUJITSU Software ID リンク・マネージャー V2.0(CVE-2024-33620、CVE-2024-33622、CVE-2024-34024)
FUJITSU Software TIME CREATOR ID リンク・マネージャー SaaS(2024年6月16日のメンテナンスより前のバージョン)(CVE-2024-33622、CVE-2024-34024)
FUJITSU Software TIME CREATOR ID リンク・マネージャー V2.3.0、V2.3.1、V2.4、V2.5、V2.6、V2.7(CVE-2024-33620、CVE-2024-33622、CVE-2024-34024)
FUJITSU Software TIME CREATOR ID リンク・マネージャー V3.0、V3.0.2、V3.0.2.1、V3.0.3(CVE-2024-33620、CVE-2024-33622、CVE-2024-34024)
CVE (情報セキュリティ 共通脆弱性識別子)
CWE (共通脆弱性タイプ一覧)
ベンダー情報
その他
Change Log
No Changed Details Date of change
1 [2024年6月18日]
  掲載
June 13, 2024, 3:58 p.m.

NVD Vulnerability Information
CVE-2024-33620
Summary

Absolute path traversal vulnerability exists in ID Link Manager and FUJITSU Software TIME CREATOR. If this vulnerability is exploited, the file contents including sensitive information on the server may be retrieved by an unauthenticated remote attacker.

Publication Date June 18, 2024, 3:15 p.m.
Registration Date June 18, 2024, 8 p.m.
Last Update Nov. 21, 2024, 6:17 p.m.
Related information, measures and tools
Common Vulnerabilities List
CVE-2024-33622
Summary

Missing authentication for critical function vulnerability exists in ID Link Manager and FUJITSU Software TIME CREATOR. If this vulnerability is exploited, sensitive information may be obtained and/or the information stored in the database may be altered by a remote authenticated attacker.

Publication Date June 18, 2024, 3:15 p.m.
Registration Date June 18, 2024, 8 p.m.
Last Update Nov. 22, 2024, 1:15 a.m.
Related information, measures and tools
Common Vulnerabilities List
CVE-2024-34024
Summary

Observable response discrepancy issue exists in ID Link Manager and FUJITSU Software TIME CREATOR. If this vulnerability is exploited, an unauthenticated remote attacker may determine if a username is valid or not.

Publication Date June 18, 2024, 3:15 p.m.
Registration Date June 18, 2024, 8 p.m.
Last Update Nov. 21, 2024, 6:17 p.m.
Related information, measures and tools
Common Vulnerabilities List