NVD Vulnerability Detail

CVE-2021-20655

Summary	FileZen (V3.0.0 to V4.2.7 and V5.0.0 to V5.0.2) allows a remote attacker with administrator rights to execute arbitrary OS commands via unspecified vectors.
Publication Date	Feb. 17, 2021, 12:15 p.m.
Registration Date	Feb. 17, 2021, 4:01 p.m.
Last Update	Nov. 21, 2024, 2:46 p.m.

CVSS3.1 : HIGH
スコア	7.2
Vector	CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H
攻撃元区分(AV)	ネットワーク
攻撃条件の複雑さ(AC)	低
攻撃に必要な特権レベル(PR)	高
利用者の関与(UI)	不要
影響の想定範囲(S)	変更なし
機密性への影響(C)	高
完全性への影響(I)	高
可用性への影響(A)	高

CVSS2.0 : HIGH
Score	9.0
Vector	AV:N/AC:L/Au:S/C:C/I:C/A:C
攻撃元区分(AV)	ネットワーク
攻撃条件の複雑さ(AC)	低
攻撃前の認証要否(Au)	単一
機密性への影響(C)	高
完全性への影響(I)	高
可用性への影響(A)	高
Get all privileges.	いいえ
Get user privileges	いいえ
Get other privileges	いいえ
User operation required	いいえ

Affected software configurations

Configuration1	or higher	or less	more than	less than
cpe:2.3:a:soliton:filezen::::::::	5.0.0	5.0.2
cpe:2.3:a:soliton:filezen::::::::	3.0.0	4.2.7

Related information, measures and tools

No	URL	タグ
1	https://jvn.jp/en/jp/JVN58774946/index.html	Third Party Advisory
2	https://jvn.jp/en/jp/JVN58774946/index.html	Third Party Advisory
3	https://www.soliton.co.jp/support/2021/004334.html	Exploit Vendor Advisory
4	https://www.soliton.co.jp/support/2021/004334.html	Exploit Vendor Advisory

Common Vulnerabilities List

No	CWE	Name	URL
1	CWE-78	OSコマンド・インジェクション	https://cwe.mitre.org/data/definitions/78.html

JVN Vulnerability Information

FileZen における OS コマンドインジェクションの脆弱性

Title	FileZen における OS コマンドインジェクションの脆弱性
Summary	株式会社ソリトンシステムズが提供する FileZen は、ファイル受け渡し専用アプライアンスです。FileZen には、OS コマンドインジェクション (CWE-78) の脆弱性が存在します。この脆弱性情報は、製品利用者への周知を目的に、開発者が JPCERT/CC に報告し、JPCERT/CC が開発者との調整を行いました。
Possible impacts	当該製品の管理者アカウントを取得した遠隔の第三者によって、任意の OS コマンドを実行される可能性があります。
Solution	[アップデートする] 開発者が提供する情報をもとに、ファームウェアを最新版にアップデートしてください。開発者は、本脆弱性を修正した次のファームウェアをリリースしています。・FileZen V4.2.8 ・FileZen V5.0.3 [ワークアラウンドを実施する] 次の回避策を適用することで、本脆弱性の影響を軽減できます。開発者は当該製品に対し、以下の対策を実施することを推奨しています。・初期管理者アカウント「admin」を無効化する・システム管理者アカウントの ID および Password を変更する・システム管理者アカウントに対し、インターネットからのログオンができないよう設定する詳しくは<a href="https://www.soliton.co.jp/support/2021/004334.html">開発者が提供する情報</a>をご確認ください。
Publication Date	Feb. 16, 2021, midnight
Registration Date	Feb. 16, 2021, 12:07 p.m.
Last Update	March 5, 2021, 4:11 p.m.

Affected System

株式会社ソリトンシステムズ

FileZen V3.0.0 から V4.2.7 までのバージョン

FileZen V5.0.0 から V5.0.2 までのバージョン

CVE (情報セキュリティ共通脆弱性識別子)

No	Name	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2021-20655	https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-20655

CWE (共通脆弱性タイプ一覧)

No	Name	URL
JVNDB
1	CWE-78	https://jvndb.jvn.jp/ja/cwe/CWE-78.html

ベンダー情報

No	Name	URL
Soliton Systems K.K.
1	【重要】FileZen設定内容確認のお願い	https://www.soliton.co.jp/support/2021/004334.html

その他

No	Name	URL
IPA 重要なセキュリティ情報
1	「FileZen」における OS コマンドインジェクションの脆弱性について（JVN#58774946）	https://www.ipa.go.jp/security/ciadr/vul/20210216-jvn.html
JPCERT 緊急報告
2	FileZenの脆弱性（CVE-2021-20655）に関する注意喚起	https://www.jpcert.or.jp/at/2021/at210009.html
JVN
3	JVN#58774946	https://jvn.jp/jp/JVN58774946/index.html

Change Log

No	Changed Details	Date of change
2	[2021年02月17日] 参考情報：IPA 重要なセキュリティ情報 (「FileZen」における OS コマンドインジェクションの脆弱性について (JVN#58774946)) を追加	Feb. 17, 2021, 10:25 a.m.
1	[2021年02月16日] 掲載	Feb. 10, 2021, 3:03 p.m.
3	[2021年03月05日] 対策：内容を追記	March 5, 2021, 11:11 a.m.