NVD脆弱性詳細

CVE-2020-17408

概要	This vulnerability allows remote attackers to disclose sensitive information on affected installations of NEC ExpressCluster 4.1. Authentication is not required to exploit this vulnerability. The specific flaw exists within the clpwebmc executable. Due to the improper restriction of XML External Entity (XXE) references, a specially-crafted document specifying a URI causes the XML parser to access the URI and embed the contents back into the XML document for further processing. An attacker can leverage this vulnerability to disclose information in the context of SYSTEM. Was ZDI-CAN-10801.
公表日	2020年9月11日2:15
登録日	2021年1月26日11:54
最終更新日	2024年11月21日14:08

影響を受けるソフトウェアの構成

構成1	以上	以下	より上	未満
cpe:2.3:a:nec:expresscluster_x:4.1:::::windows::
cpe:2.3:a:nec:expresscluster_x:4.2:::::windows::

関連情報、対策とツール

No	URL	タグ
1	https://www.support.nec.co.jp/en/View.aspx?id=9510100319	Patch Vendor Advisory
2	https://www.support.nec.co.jp/en/View.aspx?id=9510100319	Patch Vendor Advisory
3	https://www.zerodayinitiative.com/advisories/ZDI-20-1102/	Third Party Advisory VDB Entry
4	https://www.zerodayinitiative.com/advisories/ZDI-20-1102/	Third Party Advisory VDB Entry

共通脆弱性一覧

JVN脆弱性情報

CLUSTERPRO X および EXPRESSCLUSTER X における XML 外部実体参照 (XXE) に関する脆弱性

タイトル	CLUSTERPRO X および EXPRESSCLUSTER X における XML 外部実体参照 (XXE) に関する脆弱性
概要	日本電気株式会社が提供する CLUSTERPRO X および EXPRESSCLUSTER X には、XML 外部実体参照 (XXE) に関する脆弱性 (CWE-611) が存在します。この脆弱性情報は、製品利用者への周知を目的に、開発者が IPA に報告し、JPCERT/CC が開発者との調整を行いました。
想定される影響	細工された XML ファイルを読み込むことにより、サーバ上の任意のファイルを攻撃者に読み取られる可能性があります。
対策	[アップデートする] 以下のアップデートが提供されています。開発者が提供する情報をもとに、最新版へアップデートしてください。・CLUSTERPRO X 4.1/X 4.2 for Windows アップデートモジュール (CPRO-XWA40-08) ・EXPRESSCLUSTER X 4.1/X 4.2 for Windows update module (CPRO-XWA40-08E) [ワークアラウンドを実施する] 以下の回避策を実施することで、脆弱性の影響を軽減することが可能です。・IP アドレスによるアクセス制限を有効にする・パスワードによるアクセス制限を有効にする・HTTPS による接続を有効にする
公表日	2020年8月31日0:00
登録日	2020年8月31日14:08
最終更新日	2020年8月31日14:08

影響を受けるシステム

日本電気

CLUSTERPRO X 4.2 for Windows およびそれ以前（EXPRESSCLUSTER X 4.2 for Windows およびそれ以前）

CVE (情報セキュリティ共通脆弱性識別子)

No	名前	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2020-17408	https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-17408

CWE (共通脆弱性タイプ一覧)

No	名前	URL
JVNDB
1	CWE-Other	https://www.ipa.go.jp/security/vuln/CWE.html#CWEOther

ベンダー情報

No	名前	URL
NEC
1	CLUSTERPRO X 4.1/X 4.2 for Windows アップデートモジュール (CPRO-XWA40-08)	https://www.support.nec.co.jp/View.aspx?id=9010109202
2	EXPRESSCLUSTER X 4.1/X 4.2 for Windows update module (CPRO-XWA40-08E)	https://www.support.nec.co.jp/en/View.aspx?id=9510100319

その他

No	名前	URL
JVN
1	JVN#06446084	https://jvn.jp/jp/JVN06446084/index.html

変更履歴

No	変更内容	変更日
1	[2020年08月31日] 掲載	2020年8月26日14:36