NVD脆弱性詳細
Exploit、PoC検索
CVE-2021-20655
概要

FileZen (V3.0.0 to V4.2.7 and V5.0.0 to V5.0.2) allows a remote attacker with administrator rights to execute arbitrary OS commands via unspecified vectors.

公表日 2021年2月17日12:15
登録日 2021年2月17日16:01
最終更新日 2024年11月21日14:46
CVSS3.1 : HIGH
スコア 7.2
ベクター CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H
攻撃元区分(AV) ネットワーク
攻撃条件の複雑さ(AC)
攻撃に必要な特権レベル(PR)
利用者の関与(UI) 不要
影響の想定範囲(S) 変更なし
機密性への影響(C)
完全性への影響(I)
可用性への影響(A)
CVSS2.0 : HIGH
スコア 9.0
ベクター AV:N/AC:L/Au:S/C:C/I:C/A:C
攻撃元区分(AV) ネットワーク
攻撃条件の複雑さ(AC)
攻撃前の認証要否(Au) 単一
機密性への影響(C)
完全性への影響(I)
可用性への影響(A)
全ての特権を取得 いいえ
ユーザー権限を取得 いいえ
その他の権限を取得 いいえ
ユーザー操作が必要 いいえ
影響を受けるソフトウェアの構成
構成1 以上 以下 より上 未満
cpe:2.3:a:soliton:filezen:*:*:*:*:*:*:*:* 5.0.0 5.0.2
cpe:2.3:a:soliton:filezen:*:*:*:*:*:*:*:* 3.0.0 4.2.7
関連情報、対策とツール
共通脆弱性一覧
JVN脆弱性情報
FileZen における OS コマンドインジェクションの脆弱性
タイトル FileZen における OS コマンドインジェクションの脆弱性
概要

株式会社ソリトンシステムズが提供する FileZen は、ファイル受け渡し専用アプライアンスです。FileZen には、OS コマンドインジェクション (CWE-78) の脆弱性が存在します。 この脆弱性情報は、製品利用者への周知を目的に、開発者が JPCERT/CC に報告し、JPCERT/CC が開発者との調整を行いました。

想定される影響 当該製品の管理者アカウントを取得した遠隔の第三者によって、任意の OS コマンドを実行される可能性があります。
対策

[アップデートする] 開発者が提供する情報をもとに、ファームウェアを最新版にアップデートしてください。 開発者は、本脆弱性を修正した次のファームウェアをリリースしています。 ・FileZen V4.2.8 ・FileZen V5.0.3 [ワークアラウンドを実施する] 次の回避策を適用することで、本脆弱性の影響を軽減できます。 開発者は当該製品に対し、以下の対策を実施することを推奨しています。 ・初期管理者アカウント「admin」を無効化する ・システム管理者アカウントの ID および Password を変更する ・システム管理者アカウントに対し、インターネットからのログオンができないよう設定する 詳しくは<a href="https://www.soliton.co.jp/support/2021/004334.html">開発者が提供する情報</a>をご確認ください。
公表日 2021年2月16日0:00
登録日 2021年2月16日12:07
最終更新日 2021年3月5日16:11
影響を受けるシステム
株式会社ソリトンシステムズ
FileZen V3.0.0 から V4.2.7 までのバージョン
FileZen V5.0.0 から V5.0.2 までのバージョン
CVE (情報セキュリティ 共通脆弱性識別子)
CWE (共通脆弱性タイプ一覧)
ベンダー情報
その他
変更履歴
No 変更内容 変更日
2 [2021年02月17日]
  参考情報:IPA 重要なセキュリティ情報 (「FileZen」における OS コマンドインジェクションの脆弱性について (JVN#58774946)) を追加		 2021年2月17日10:25
1 [2021年02月16日]
  掲載		 2021年2月10日15:03
3 [2021年03月05日]
   対策:内容を追記		 2021年3月5日11:11