Exmentにおける複数の脆弱性
タイトル Exmentにおける複数の脆弱性
概要

株式会社カジトリが提供するExmentには、次の複数の脆弱性が存在します。 <ul><li>不適切なアクセス権限付加(CWE-732)- CVE-2024-46897</li><li>格納型クロスサイトスクリプティング(CWE-79)- CVE-2024-47793</li></ul> CVE-2024-46897 この脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方がIPAに報告し、JPCERT/CCが開発者との調整を行いました。 報告者:三井物産セキュアディレクション株式会社 佐藤 大陸 氏 CVE-2024-47793 この脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方がIPAに報告し、JPCERT/CCが開発者との調整を行いました。 報告者:GMOサイバーセキュリティ byイエラエ株式会社 石井 健太郎 氏

想定される影響 想定される影響は各脆弱性により異なりますが、次のような影響を受ける可能性があります。 <ul><li>当該製品にログイン可能であり、テーブル管理の権限をもつユーザによって、権限がないテーブルの情報を窃取されたり、改ざんされたりする(CVE-2024-46897)</li><li>当該製品にログインしたユーザが、カスタム列(列種類は「ファイル」もしくは「画像」)がレイアウトされた編集画面にアクセスした場合、ユーザのウェブブラウザ上で任意のスクリプトを実行される(CVE-2024-47793)</li></ul>
対策

[アップデートする] 開発者が提供する情報をもとに、最新版にアップデートしてください。 開発者は、本脆弱性を修正したバージョンとしてv6.1.5およびv5.0.12をリリースしています。 [ワークアラウンドを実施する] 開発者は、最新版へのアップデートによる対応が難しいユーザ向けに、個々のファイルを修正して対応する方法を説明しています。 詳細は、開発者が提供する情報をご確認ください。

公表日 2024年10月11日0:00
登録日 2024年10月11日12:17
最終更新日 2024年10月11日12:17
CVSS3.0 : 低
スコア 3.8
ベクター CVSS:3.0/AV:N/AC:L/PR:H/UI:N/S:U/C:L/I:L/A:N
CVE (情報セキュリティ 共通脆弱性識別子)
CWE (共通脆弱性タイプ一覧)
ベンダー情報
その他
変更履歴
No 変更内容 変更日
1 [2024年10月11日]
 掲載
2024年10月8日20:35

NVD脆弱性情報
CVE-2024-46897
概要

Incorrect permission assignment for critical resource issue exists in Exment v6.1.4 and earlier and Exment v5.0.11 and earlier. A logged-in user with the permission of table management may obtain and/or alter the information of the unauthorized table.

公表日 2024年10月18日15:15
登録日 2024年10月18日20:00
最終更新日 2024年10月22日23:09
影響を受けるソフトウェアの構成
構成1 以上 以下 より上 未満
cpe:2.3:a:exceedone:exment:*:*:*:*:*:*:*:* 6.0.0 6.1.4
cpe:2.3:a:exceedone:exment:*:*:*:*:*:*:*:* 5.0.11
関連情報、対策とツール
共通脆弱性一覧
CVE-2024-47793
概要

Stored cross-site scripting vulnerability exists in Exment v6.1.4 and earlier and Exment v5.0.11 and earlier. When accessing the edit screen containing custom columns (column type: images or files), an arbitrary script may be executed on the web browser of the user.

公表日 2024年10月18日15:15
登録日 2024年10月18日20:00
最終更新日 2024年10月22日6:25
影響を受けるソフトウェアの構成
構成1 以上 以下 より上 未満
cpe:2.3:a:exceedone:exment:*:*:*:*:*:*:*:* 6.0.0 6.1.4
cpe:2.3:a:exceedone:exment:*:*:*:*:*:*:*:* 5.0.11
関連情報、対策とツール
共通脆弱性一覧