タイトル | Exmentにおける複数の脆弱性 |
---|---|
概要 | 株式会社カジトリが提供するExmentには、次の複数の脆弱性が存在します。 <ul><li>不適切なアクセス権限付加(CWE-732)- CVE-2024-46897</li><li>格納型クロスサイトスクリプティング(CWE-79)- CVE-2024-47793</li></ul> CVE-2024-46897 この脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方がIPAに報告し、JPCERT/CCが開発者との調整を行いました。 報告者:三井物産セキュアディレクション株式会社 佐藤 大陸 氏 CVE-2024-47793 この脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方がIPAに報告し、JPCERT/CCが開発者との調整を行いました。 報告者:GMOサイバーセキュリティ byイエラエ株式会社 石井 健太郎 氏 |
想定される影響 | 想定される影響は各脆弱性により異なりますが、次のような影響を受ける可能性があります。 <ul><li>当該製品にログイン可能であり、テーブル管理の権限をもつユーザによって、権限がないテーブルの情報を窃取されたり、改ざんされたりする(CVE-2024-46897)</li><li>当該製品にログインしたユーザが、カスタム列(列種類は「ファイル」もしくは「画像」)がレイアウトされた編集画面にアクセスした場合、ユーザのウェブブラウザ上で任意のスクリプトを実行される(CVE-2024-47793)</li></ul> |
対策 | [アップデートする] 開発者が提供する情報をもとに、最新版にアップデートしてください。 開発者は、本脆弱性を修正したバージョンとしてv6.1.5およびv5.0.12をリリースしています。 [ワークアラウンドを実施する] 開発者は、最新版へのアップデートによる対応が難しいユーザ向けに、個々のファイルを修正して対応する方法を説明しています。 詳細は、開発者が提供する情報をご確認ください。 |
公表日 | 2024年10月11日0:00 |
登録日 | 2024年10月11日12:17 |
最終更新日 | 2024年10月11日12:17 |
CVSS3.0 : 低 | |
スコア | 3.8 |
---|---|
ベクター | CVSS:3.0/AV:N/AC:L/PR:H/UI:N/S:U/C:L/I:L/A:N |
No | 変更内容 | 変更日 |
---|---|---|
1 | [2024年10月11日] 掲載 |
2024年10月8日20:35 |
概要 | Incorrect permission assignment for critical resource issue exists in Exment v6.1.4 and earlier and Exment v5.0.11 and earlier. A logged-in user with the permission of table management may obtain and/or alter the information of the unauthorized table. |
---|---|
公表日 | 2024年10月18日15:15 |
登録日 | 2024年10月18日20:00 |
最終更新日 | 2024年10月22日23:09 |
構成1 | 以上 | 以下 | より上 | 未満 | |
cpe:2.3:a:exceedone:exment:*:*:*:*:*:*:*:* | 6.0.0 | 6.1.4 | |||
cpe:2.3:a:exceedone:exment:*:*:*:*:*:*:*:* | 5.0.11 |
概要 | Stored cross-site scripting vulnerability exists in Exment v6.1.4 and earlier and Exment v5.0.11 and earlier. When accessing the edit screen containing custom columns (column type: images or files), an arbitrary script may be executed on the web browser of the user. |
---|---|
公表日 | 2024年10月18日15:15 |
登録日 | 2024年10月18日20:00 |
最終更新日 | 2024年10月22日6:25 |
構成1 | 以上 | 以下 | より上 | 未満 | |
cpe:2.3:a:exceedone:exment:*:*:*:*:*:*:*:* | 6.0.0 | 6.1.4 | |||
cpe:2.3:a:exceedone:exment:*:*:*:*:*:*:*:* | 5.0.11 |