NVD脆弱性詳細
Exploit、PoC検索
CVE-2020-5626
概要

Logstorage version 8.0.0 and earlier, and ELC Analytics version 3.0.0 and earlier allow remote attackers to execute arbitrary OS commands via a specially crafted log file.

公表日 2021年1月28日20:15
登録日 2021年1月29日10:01
最終更新日 2024年11月21日14:34
CVSS3.1 : HIGH
スコア 8.8
ベクター CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
攻撃元区分(AV) ネットワーク
攻撃条件の複雑さ(AC)
攻撃に必要な特権レベル(PR)
利用者の関与(UI) 不要
影響の想定範囲(S) 変更なし
機密性への影響(C)
完全性への影響(I)
可用性への影響(A)
CVSS2.0 : HIGH
スコア 9.0
ベクター AV:N/AC:L/Au:S/C:C/I:C/A:C
攻撃元区分(AV) ネットワーク
攻撃条件の複雑さ(AC)
攻撃前の認証要否(Au) 単一
機密性への影響(C)
完全性への影響(I)
可用性への影響(A)
全ての特権を取得 いいえ
ユーザー権限を取得 いいえ
その他の権限を取得 いいえ
ユーザー操作が必要 いいえ
影響を受けるソフトウェアの構成
構成1 以上 以下 より上 未満
cpe:2.3:a:infoscience:elc_analytics:*:*:*:*:*:*:*:* 3.0.0
cpe:2.3:a:infoscience:logstorage:*:*:*:*:*:*:*:* 8.0.0
関連情報、対策とツール
共通脆弱性一覧
JVN脆弱性情報
インフォサイエンス製の複数のログ管理ツールにおける OS コマンドインジェクションの脆弱性
タイトル インフォサイエンス製の複数のログ管理ツールにおける OS コマンドインジェクションの脆弱性
概要

インフォサイエンス株式会社が提供する複数のログ管理ツールでは、様々なログ収集方法の一つとして当該製品への FTP によるアップロード機能を提供しており、管理者が FTP アップロードを受け付けるように設定することが可能です。 当該製品の FTP アップロード機能を有効にしている状況において、管理者が設定するログ処理機能に入力値の取り扱いに関する不備がある場合、細工されたログを FTP でアップロードされることで、当該製品が稼働しているサーバ上で任意の OS コマンドを実行される可能性 (CWE-78) があります。 この脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方が IPA に報告し、JPCERT/CC が開発者との調整を行いました。 報告者: 三井物産セキュアディレクション株式会社 塚本 泰三 氏

想定される影響 当該製品の FTP アップロード機能を有効にしており、ログ処理を行う ScriptHandler に入力値の取り扱いに関する不備がある場合、細工されたログを FTP でアップロードされることで、当該製品が稼働しているサーバ上で任意の OS コマンドを実行される可能性があります。
対策

[アップデートする] 開発者が提供する情報をもとに、最新版へアップデートしてください。 [ワークアラウンドを実施する] 以下の回避策を適用することで本脆弱性の影響を回避することが可能です。 ・ScriptHandler が処理を行う対象ファイル名パターンを、カンマを含むファイル名で実行されない設定にする 詳細は開発者または製品提供元にお問い合わせください。
公表日 2021年1月27日0:00
登録日 2021年1月27日14:12
最終更新日 2022年7月26日11:12
影響を受けるシステム
インフォサイエンス株式会社
ELC Analytics バージョン 3.0.0 およびそれ以前
Logstorage バージョン 8.0.0 およびそれ以前
CVE (情報セキュリティ 共通脆弱性識別子)
CWE (共通脆弱性タイプ一覧)
ベンダー情報
その他
変更履歴
No 変更内容 変更日
2 [2021年01月27日]
 ベンダ情報:内容を更新		 2021年1月27日16:50
1 [2021年01月27日]
  掲載		 2021年1月27日14:36
3 [2022年07月26日]
  ベンダ情報:内容を更新		 2022年7月26日11:03