Exmentにおける複数の脆弱性
Title |
Exmentにおける複数の脆弱性
|
Summary |
株式会社カジトリが提供するExmentには、次の複数の脆弱性が存在します。 <ul><li>不適切なアクセス権限付加(CWE-732)- CVE-2024-46897</li><li>格納型クロスサイトスクリプティング(CWE-79)- CVE-2024-47793</li></ul> CVE-2024-46897 この脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方がIPAに報告し、JPCERT/CCが開発者との調整を行いました。 報告者:三井物産セキュアディレクション株式会社 佐藤 大陸 氏 CVE-2024-47793 この脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方がIPAに報告し、JPCERT/CCが開発者との調整を行いました。 報告者:GMOサイバーセキュリティ byイエラエ株式会社 石井 健太郎 氏
|
Possible impacts |
想定される影響は各脆弱性により異なりますが、次のような影響を受ける可能性があります。 <ul><li>当該製品にログイン可能であり、テーブル管理の権限をもつユーザによって、権限がないテーブルの情報を窃取されたり、改ざんされたりする(CVE-2024-46897)</li><li>当該製品にログインしたユーザが、カスタム列(列種類は「ファイル」もしくは「画像」)がレイアウトされた編集画面にアクセスした場合、ユーザのウェブブラウザ上で任意のスクリプトを実行される(CVE-2024-47793)</li></ul> |
Solution |
[アップデートする] 開発者が提供する情報をもとに、最新版にアップデートしてください。 開発者は、本脆弱性を修正したバージョンとしてv6.1.5およびv5.0.12をリリースしています。 [ワークアラウンドを実施する] 開発者は、最新版へのアップデートによる対応が難しいユーザ向けに、個々のファイルを修正して対応する方法を説明しています。 詳細は、開発者が提供する情報をご確認ください。 |
Publication Date |
Oct. 11, 2024, midnight |
Registration Date |
Oct. 11, 2024, 12:17 p.m. |
Last Update |
Oct. 11, 2024, 12:17 p.m. |
CVSS3.0 : 低
|
Score |
3.8
|
Vector |
CVSS:3.0/AV:N/AC:L/PR:H/UI:N/S:U/C:L/I:L/A:N |
CVE (情報セキュリティ 共通脆弱性識別子)
CWE (共通脆弱性タイプ一覧)
ベンダー情報
その他
Change Log
No |
Changed Details |
Date of change |
1 |
[2024年10月11日] 掲載 |
Oct. 8, 2024, 8:35 p.m. |
NVD Vulnerability Information
CVE-2024-46897
Summary |
Incorrect permission assignment for critical resource issue exists in Exment v6.1.4 and earlier and Exment v5.0.11 and earlier. A logged-in user with the permission of table management may obtain and/or alter the information of the unauthorized table.
|
Publication Date |
Oct. 18, 2024, 3:15 p.m. |
Registration Date |
Oct. 18, 2024, 8 p.m. |
Last Update |
Oct. 22, 2024, 11:09 p.m. |
Affected software configurations
Configuration1 |
or higher |
or less |
more than |
less than |
cpe:2.3:a:exceedone:exment:*:*:*:*:*:*:*:* |
6.0.0 |
|
|
6.1.4 |
cpe:2.3:a:exceedone:exment:*:*:*:*:*:*:*:* |
|
|
|
5.0.11 |
Related information, measures and tools
Common Vulnerabilities List
CVE-2024-47793
Summary |
Stored cross-site scripting vulnerability exists in Exment v6.1.4 and earlier and Exment v5.0.11 and earlier. When accessing the edit screen containing custom columns (column type: images or files), an arbitrary script may be executed on the web browser of the user.
|
Publication Date |
Oct. 18, 2024, 3:15 p.m. |
Registration Date |
Oct. 18, 2024, 8 p.m. |
Last Update |
Oct. 22, 2024, 6:25 a.m. |
Affected software configurations
Configuration1 |
or higher |
or less |
more than |
less than |
cpe:2.3:a:exceedone:exment:*:*:*:*:*:*:*:* |
6.0.0 |
|
|
6.1.4 |
cpe:2.3:a:exceedone:exment:*:*:*:*:*:*:*:* |
|
|
|
5.0.11 |
Related information, measures and tools
Common Vulnerabilities List