CVE-2020-17408
| Summary |
This vulnerability allows remote attackers to disclose sensitive information on affected installations of NEC ExpressCluster 4.1. Authentication is not required to exploit this vulnerability. The specific flaw exists within the clpwebmc executable. Due to the improper restriction of XML External Entity (XXE) references, a specially-crafted document specifying a URI causes the XML parser to access the URI and embed the contents back into the XML document for further processing. An attacker can leverage this vulnerability to disclose information in the context of SYSTEM. Was ZDI-CAN-10801.
|
| Publication Date |
Sept. 11, 2020, 2:15 a.m. |
| Registration Date |
Jan. 26, 2021, 11:54 a.m. |
| Last Update |
Nov. 21, 2024, 2:08 p.m. |
|
CVSS3.1 : HIGH
|
| スコア |
7.5
|
| Vector |
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N |
| 攻撃元区分(AV) |
ネットワーク |
| 攻撃条件の複雑さ(AC) |
低 |
| 攻撃に必要な特権レベル(PR) |
不要 |
| 利用者の関与(UI) |
不要 |
| 影響の想定範囲(S) |
変更なし |
| 機密性への影響(C) |
高 |
| 完全性への影響(I) |
なし |
| 可用性への影響(A) |
なし |
|
CVSS2.0 : MEDIUM
|
| Score |
5.0
|
| Vector |
AV:N/AC:L/Au:N/C:P/I:N/A:N |
| 攻撃元区分(AV) |
ネットワーク |
| 攻撃条件の複雑さ(AC) |
低 |
| 攻撃前の認証要否(Au) |
不要 |
| 機密性への影響(C) |
低 |
| 完全性への影響(I) |
なし |
| 可用性への影響(A) |
なし |
| Get all privileges. |
いいえ
|
| Get user privileges |
いいえ
|
| Get other privileges |
いいえ
|
| User operation required |
いいえ
|
Affected software configurations
| Configuration1 |
or higher |
or less |
more than |
less than |
| cpe:2.3:a:nec:expresscluster_x:4.1:*:*:*:*:windows:*:* |
|
|
|
|
| cpe:2.3:a:nec:expresscluster_x:4.2:*:*:*:*:windows:*:* |
|
|
|
|
Related information, measures and tools
Common Vulnerabilities List
JVN Vulnerability Information
CLUSTERPRO X および EXPRESSCLUSTER X における XML 外部実体参照 (XXE) に関する脆弱性
| Title |
CLUSTERPRO X および EXPRESSCLUSTER X における XML 外部実体参照 (XXE) に関する脆弱性
|
| Summary |
日本電気株式会社が提供する CLUSTERPRO X および EXPRESSCLUSTER X には、XML 外部実体参照 (XXE) に関する脆弱性 (CWE-611) が存在します。 この脆弱性情報は、製品利用者への周知を目的に、開発者が IPA に報告し、JPCERT/CC が開発者との調整を行いました。
|
| Possible impacts |
細工された XML ファイルを読み込むことにより、サーバ上の任意のファイルを攻撃者に読み取られる可能性があります。 |
| Solution |
[アップデートする] 以下のアップデートが提供されています。開発者が提供する情報をもとに、最新版へアップデートしてください。 ・CLUSTERPRO X 4.1/X 4.2 for Windows アップデートモジュール (CPRO-XWA40-08) ・EXPRESSCLUSTER X 4.1/X 4.2 for Windows update module (CPRO-XWA40-08E) [ワークアラウンドを実施する] 以下の回避策を実施することで、脆弱性の影響を軽減することが可能です。 ・IP アドレスによるアクセス制限を有効にする ・パスワードによるアクセス制限を有効にする ・HTTPS による接続を有効にする |
| Publication Date |
Aug. 31, 2020, midnight |
| Registration Date |
Aug. 31, 2020, 2:08 p.m. |
| Last Update |
Aug. 31, 2020, 2:08 p.m. |
Affected System
| 日本電気 |
|
CLUSTERPRO X 4.2 for Windows およびそれ以前(EXPRESSCLUSTER X 4.2 for Windows およびそれ以前)
|
CVE (情報セキュリティ 共通脆弱性識別子)
CWE (共通脆弱性タイプ一覧)
ベンダー情報
その他
Change Log
| No |
Changed Details |
Date of change |
| 1 |
[2020年08月31日]
掲載 |
Aug. 26, 2020, 2:36 p.m. |