ID リンク・マネージャーおよびFUJITSU Software TIME CREATORにおける複数の脆弱性
タイトル ID リンク・マネージャーおよびFUJITSU Software TIME CREATORにおける複数の脆弱性
概要

エフサステクノロジーズ株式会社が提供するID リンク・マネージャーおよびFUJITSU Software TIME CREATORには、次の複数の脆弱性が存在します。 <ul><li>パストラバーサル(CWE-36)- CVE-2024-33620</li><li>不適切な認証(CWE-306)- CVE-2024-33622</li><li>情報漏えい(CWE-204)- CVE-2024-34024</li></ul> この脆弱性情報は、下記の方がJPCERT/CCに報告し、JPCERT/CCが開発者との調整を行いました。 報告者:WithSecure KK Christian Demko 氏

想定される影響 想定される影響は各脆弱性により異なりますが、次のような影響を受ける可能性があります。<ul><li>認証無しでサーバ上の機微な情報を含むファイルを参照される(CVE-2024-33620)</li><li>機微な情報を取得されたり、データベース内の情報を改ざんされる(CVE-2024-33622)</li><li>認証無しでユーザ名の有無を参照される(CVE-2024-34024)</li></ul>
対策

[パッチを適用する] ID リンク・マネージャーおよびFUJITSU Software TIME CREATORについては、開発者が提供する情報をもとに、パッチを適用してください。 FUJITSU Software TIME CREATOR ID リンク・マネージャー SaaSは2024年6月16日のメンテナンスで修正済みです。

公表日 2024年6月18日0:00
登録日 2024年6月18日12:10
最終更新日 2024年6月18日12:10
CVSS3.0 : 重要
スコア 8.6
ベクター CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:N/A:N
影響を受けるシステム
エフサステクノロジーズ株式会社
FUJITSU Business Application ID リンク・マネージャーII V1.8およびそれ以前のバージョン(CVE-2024-33620、CVE-2024-33622、CVE-2024-34024)
FUJITSU Software ID リンク・マネージャー V2.0(CVE-2024-33620、CVE-2024-33622、CVE-2024-34024)
FUJITSU Software TIME CREATOR ID リンク・マネージャー SaaS(2024年6月16日のメンテナンスより前のバージョン)(CVE-2024-33622、CVE-2024-34024)
FUJITSU Software TIME CREATOR ID リンク・マネージャー V2.3.0、V2.3.1、V2.4、V2.5、V2.6、V2.7(CVE-2024-33620、CVE-2024-33622、CVE-2024-34024)
FUJITSU Software TIME CREATOR ID リンク・マネージャー V3.0、V3.0.2、V3.0.2.1、V3.0.3(CVE-2024-33620、CVE-2024-33622、CVE-2024-34024)
CVE (情報セキュリティ 共通脆弱性識別子)
CWE (共通脆弱性タイプ一覧)
ベンダー情報
その他
変更履歴
No 変更内容 変更日
1 [2024年6月18日]
  掲載
2024年6月13日15:58

NVD脆弱性情報
CVE-2024-33620
概要

Absolute path traversal vulnerability exists in ID Link Manager and FUJITSU Software TIME CREATOR. If this vulnerability is exploited, the file contents including sensitive information on the server may be retrieved by an unauthenticated remote attacker.

公表日 2024年6月18日15:15
登録日 2024年6月18日20:00
最終更新日 2024年11月21日18:17
関連情報、対策とツール
共通脆弱性一覧
CVE-2024-33622
概要

Missing authentication for critical function vulnerability exists in ID Link Manager and FUJITSU Software TIME CREATOR. If this vulnerability is exploited, sensitive information may be obtained and/or the information stored in the database may be altered by a remote authenticated attacker.

公表日 2024年6月18日15:15
登録日 2024年6月18日20:00
最終更新日 2024年11月22日1:15
関連情報、対策とツール
共通脆弱性一覧
CVE-2024-34024
概要

Observable response discrepancy issue exists in ID Link Manager and FUJITSU Software TIME CREATOR. If this vulnerability is exploited, an unauthenticated remote attacker may determine if a username is valid or not.

公表日 2024年6月18日15:15
登録日 2024年6月18日20:00
最終更新日 2024年11月21日18:17
関連情報、対策とツール
共通脆弱性一覧