製品・ソフトウェアに関する情報
Exmentにおける複数の脆弱性
Title Exmentにおける複数の脆弱性
Summary

株式会社カジトリが提供するExmentには、次の複数の脆弱性が存在します。 <ul><li>不適切なアクセス権限付加(CWE-732)- CVE-2024-46897</li><li>格納型クロスサイトスクリプティング(CWE-79)- CVE-2024-47793</li></ul> CVE-2024-46897 この脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方がIPAに報告し、JPCERT/CCが開発者との調整を行いました。 報告者:三井物産セキュアディレクション株式会社 佐藤 大陸 氏 CVE-2024-47793 この脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方がIPAに報告し、JPCERT/CCが開発者との調整を行いました。 報告者:GMOサイバーセキュリティ byイエラエ株式会社 石井 健太郎 氏

Possible impacts 想定される影響は各脆弱性により異なりますが、次のような影響を受ける可能性があります。 <ul><li>当該製品にログイン可能であり、テーブル管理の権限をもつユーザによって、権限がないテーブルの情報を窃取されたり、改ざんされたりする(CVE-2024-46897)</li><li>当該製品にログインしたユーザが、カスタム列(列種類は「ファイル」もしくは「画像」)がレイアウトされた編集画面にアクセスした場合、ユーザのウェブブラウザ上で任意のスクリプトを実行される(CVE-2024-47793)</li></ul>
Solution

[アップデートする] 開発者が提供する情報をもとに、最新版にアップデートしてください。 開発者は、本脆弱性を修正したバージョンとしてv6.1.5およびv5.0.12をリリースしています。 [ワークアラウンドを実施する] 開発者は、最新版へのアップデートによる対応が難しいユーザ向けに、個々のファイルを修正して対応する方法を説明しています。 詳細は、開発者が提供する情報をご確認ください。

Publication Date Oct. 11, 2024, midnight
Registration Date Oct. 11, 2024, 12:17 p.m.
Last Update Oct. 11, 2024, 12:17 p.m.
CVSS3.0 : 低
Score 3.8
Vector CVSS:3.0/AV:N/AC:L/PR:H/UI:N/S:U/C:L/I:L/A:N
CVE (情報セキュリティ 共通脆弱性識別子)
CWE (共通脆弱性タイプ一覧)
ベンダー情報
その他
Change Log
No Changed Details Date of change
1 [2024年10月11日]
 掲載
Oct. 8, 2024, 8:35 p.m.

NVD Vulnerability Information
CVE-2024-46897
Summary

Incorrect permission assignment for critical resource issue exists in Exment v6.1.4 and earlier and Exment v5.0.11 and earlier. A logged-in user with the permission of table management may obtain and/or alter the information of the unauthorized table.

Publication Date Oct. 18, 2024, 3:15 p.m.
Registration Date Oct. 18, 2024, 8 p.m.
Last Update Oct. 22, 2024, 11:09 p.m.
Affected software configurations
Configuration1 or higher or less more than less than
cpe:2.3:a:exceedone:exment:*:*:*:*:*:*:*:* 6.0.0 6.1.4
cpe:2.3:a:exceedone:exment:*:*:*:*:*:*:*:* 5.0.11
Related information, measures and tools
Common Vulnerabilities List
CVE-2024-47793
Summary

Stored cross-site scripting vulnerability exists in Exment v6.1.4 and earlier and Exment v5.0.11 and earlier. When accessing the edit screen containing custom columns (column type: images or files), an arbitrary script may be executed on the web browser of the user.

Publication Date Oct. 18, 2024, 3:15 p.m.
Registration Date Oct. 18, 2024, 8 p.m.
Last Update Oct. 22, 2024, 6:25 a.m.
Affected software configurations
Configuration1 or higher or less more than less than
cpe:2.3:a:exceedone:exment:*:*:*:*:*:*:*:* 6.0.0 6.1.4
cpe:2.3:a:exceedone:exment:*:*:*:*:*:*:*:* 5.0.11
Related information, measures and tools
Common Vulnerabilities List