NVD Vulnerability Detail

CVE-2020-5626

Summary	Logstorage version 8.0.0 and earlier, and ELC Analytics version 3.0.0 and earlier allow remote attackers to execute arbitrary OS commands via a specially crafted log file.
Publication Date	Jan. 28, 2021, 8:15 p.m.
Registration Date	Jan. 29, 2021, 10:01 a.m.
Last Update	Nov. 21, 2024, 2:34 p.m.

CVSS3.1 : HIGH
スコア	8.8
Vector	CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
攻撃元区分(AV)	ネットワーク
攻撃条件の複雑さ(AC)	低
攻撃に必要な特権レベル(PR)	低
利用者の関与(UI)	不要
影響の想定範囲(S)	変更なし
機密性への影響(C)	高
完全性への影響(I)	高
可用性への影響(A)	高

CVSS2.0 : HIGH
Score	9.0
Vector	AV:N/AC:L/Au:S/C:C/I:C/A:C
攻撃元区分(AV)	ネットワーク
攻撃条件の複雑さ(AC)	低
攻撃前の認証要否(Au)	単一
機密性への影響(C)	高
完全性への影響(I)	高
可用性への影響(A)	高
Get all privileges.	いいえ
Get user privileges	いいえ
Get other privileges	いいえ
User operation required	いいえ

Affected software configurations

Configuration1	or higher	or less	more than	less than
cpe:2.3:a:infoscience:elc_analytics::::::::		3.0.0
cpe:2.3:a:infoscience:logstorage::::::::		8.0.0

Related information, measures and tools

No	URL	タグ
1	https://jvn.jp/en/jp/JVN41853173/index.html	Third Party Advisory
2	https://jvn.jp/en/jp/JVN41853173/index.html	Third Party Advisory
3	https://www.logstorage.com/support/vulnerability_info.html#jvn-41853173	Third Party Advisory
4	https://www.logstorage.com/support/vulnerability_info.html#jvn-41853173	Third Party Advisory

Common Vulnerabilities List

No	CWE	Name	URL
1	CWE-78	OSコマンド・インジェクション	https://cwe.mitre.org/data/definitions/78.html

JVN Vulnerability Information

インフォサイエンス製の複数のログ管理ツールにおける OS コマンドインジェクションの脆弱性

Title	インフォサイエンス製の複数のログ管理ツールにおける OS コマンドインジェクションの脆弱性
Summary	インフォサイエンス株式会社が提供する複数のログ管理ツールでは、様々なログ収集方法の一つとして当該製品への FTP によるアップロード機能を提供しており、管理者が FTP アップロードを受け付けるように設定することが可能です。当該製品の FTP アップロード機能を有効にしている状況において、管理者が設定するログ処理機能に入力値の取り扱いに関する不備がある場合、細工されたログを FTP でアップロードされることで、当該製品が稼働しているサーバ上で任意の OS コマンドを実行される可能性 (CWE-78) があります。この脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方が IPA に報告し、JPCERT/CC が開発者との調整を行いました。報告者: 三井物産セキュアディレクション株式会社塚本泰三氏
Possible impacts	当該製品の FTP アップロード機能を有効にしており、ログ処理を行う ScriptHandler に入力値の取り扱いに関する不備がある場合、細工されたログを FTP でアップロードされることで、当該製品が稼働しているサーバ上で任意の OS コマンドを実行される可能性があります。
Solution	[アップデートする] 開発者が提供する情報をもとに、最新版へアップデートしてください。 [ワークアラウンドを実施する] 以下の回避策を適用することで本脆弱性の影響を回避することが可能です。・ScriptHandler が処理を行う対象ファイル名パターンを、カンマを含むファイル名で実行されない設定にする詳細は開発者または製品提供元にお問い合わせください。
Publication Date	Jan. 27, 2021, midnight
Registration Date	Jan. 27, 2021, 2:12 p.m.
Last Update	July 26, 2022, 11:12 a.m.

Affected System

インフォサイエンス株式会社

ELC Analytics バージョン 3.0.0 およびそれ以前

Logstorage バージョン 8.0.0 およびそれ以前

CVE (情報セキュリティ共通脆弱性識別子)

No	Name	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2020-5626	https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-5626

CWE (共通脆弱性タイプ一覧)

No	Name	URL
JVNDB
1	CWE-78	https://jvndb.jvn.jp/ja/cwe/CWE-78.html

ベンダー情報

No	Name	URL
インフォサイエンス株式会社
1	Logstorageにおける任意のファイル実行の脆弱性（JVN#41853173）について	https://logstorage.com/2021/01/27/4460/

その他

No	Name	URL
JVN
1	JVN#41853173	https://jvn.jp/jp/JVN41853173/index.html

Change Log

No	Changed Details	Date of change
2	[2021年01月27日] ベンダ情報：内容を更新	Jan. 27, 2021, 4:50 p.m.
1	[2021年01月27日] 掲載	Jan. 27, 2021, 2:36 p.m.
3	[2022年07月26日] ベンダ情報：内容を更新	July 26, 2022, 11:03 a.m.