| タイトル | atenのATEN Unizonにおけるパストラバーサルの脆弱性 |
|---|---|
| 概要 | ATEN UnizonのwriteFileToHttpServletResponseにおけるディレクトリトラバーサル情報漏洩の脆弱性です。この脆弱性により、リモートの攻撃者は影響を受けるATEN Unizonのインストール環境から機密情報を漏洩させることが可能です。認証はこの脆弱性を悪用するために必要ありません。特定の欠陥はwriteFileToHttpServletResponseメソッドに存在します。この問題は、ファイル操作に使用する前にユーザー提供のパスが適切に検証されていないことに起因します。攻撃者はこの脆弱性を利用してSYSTEMコンテキストで情報を漏洩させることができます。元はZDI-CAN-28505でした。 |
| 想定される影響 | ・当該ソフトウェアが扱う全ての情報が外部に漏れる可能性があります。 ・当該ソフトウェアが扱う情報について、書き換えは発生しません。 ・当該ソフトウェアは停止しません。 |
| 対策 | ベンダ情報を参照して適切な対策を実施してください。 |
| 公表日 | 2026年6月24日0:00 |
| 登録日 | 2026年6月29日11:07 |
| 最終更新日 | 2026年6月29日11:07 |
| CVSS3.0 : 重要 | |
| スコア | 7.5 |
|---|---|
| ベクター | CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N |
| aten |
| ATEN Unizon 2.7.264 未満 |
| No | 変更内容 | 変更日 |
|---|---|---|
| 1 | [2026年06月29日] 掲載 |
2026年6月29日11:07 |
| 概要 | ATEN Unizon writeFileToHttpServletResponse Directory Traversal Information Disclosure Vulnerability. This vulnerability allows remote attackers to disclose sensitive information on affected installations of ATEN Unizon. Authentication is not required to exploit this vulnerability. The specific flaw exists within the writeFileToHttpServletResponse method. The issue results from the lack of proper validation of a user-supplied path prior to using it in file operations. An attacker can leverage this vulnerability to disclose information in the context of SYSTEM. Was ZDI-CAN-28505. |
|---|---|
| 公表日 | 2026年6月25日7:16 |
| 登録日 | 2026年6月27日4:24 |
| 最終更新日 | 2026年6月28日4:00 |
| 構成1 | 以上 | 以下 | より上 | 未満 | |
| cpe:2.3:a:aten:unizon:*:*:*:*:*:*:*:* | 2.7.264 | ||||