重要な脆弱性情報 脆弱性概要: - このメールには、OXAAS-ADV-2023-0002:OX App Suite セキュリティアドバイザリに関する複数の脆弱性情報が含まれています。 主要な脆弱性: - CWE-922 (機密情報の不適切な保存) - リスク: ローカルシステムのユーザーが機密情報を参照できる可能性があります。 - CVSS: 3.2 - 対策: インストールパッケージにおいて、デフォルトの権限設定を更新する。 - CWE-639 (ユーザー制御キーを通じた認可の回避) - リスク: 攻撃者が任意のフラグメントIDを指定して要求を行うことで、公開されていないユーザーの署名を読み取れる可能性があります。 - CVSS: 6.5 - 対策: 共有されていないフラグメントへのアクセスを制限するため、権限処理を改善する。 - CWE-77 (コマンド使用時の特殊要素の不適切な中和 (コマンドインジェクション)) - リスク: 攻撃者がユーザーフィードバックを通じて意図しない内容をインジェクトし、エクスポートされたデータ構造を破壊できる可能性があります。 - CVSS: 3.5 - 対策: エクスポート時に、空白以外のすべての制御文字を破棄する。 - CWE-918 (サーバーサイドリクエストフォージェリ (SSRF)) - リスク: 攻撃者がIPv4マッピングされたIPv6アドレスを利用し、ブラックリストを回避して、制限されたネットワークインフラストラクチャへのリクエストを引き起こす可能性があります。 - CVSS: 5.0 - 対策: IPv4マッピングされたIPv6アドレスがブラックリストに含まれているかどうかを確認する。 - CWE-400 (制御されないリソース消費) - SMTPおよびIMAPの機能処理が不適切であり、サービスの利用不可を引き起こす可能性があります。 - CVSS: 4.3 (SMTP) および 4.3 (IMAP) - 対策: SMTPおよびIMAPサーバーのレスポンス長を制限する。 - CWE-918 (サーバーサイドリクエストフォージェリ (SSRF)) - リスク: 操作されたODTドキュメントを使用してローカルおよびネットワークリソースにアクセスする。 - CVSS: 5.0 - 対策: コンテンツフィルタリングおよび検証を改善する。 - CWE-94 (コード生成の不適切な制御 (コードインジェクション)) - リスク: documentconverterws API を介して悪意のあるコードをインジェクトし、リモートコードを実行する。 - CVSS: 8.3 - 対策: API エンドポイントでのローカルネットワークアクセスのみを許可し、処理されるクラスを制限する。