パソコンの誤操作、不正アクセス、紛失、盗難などによる個人情報や機密情報の流出などは後を絶ちません。
「情報漏えいニュース」では、日々発生する情報漏えいに関するニュースをまとめて公開しています。

ディサークル、POWER EGGに任意のEL式を実行可能な脆弱性

  • 元記事:POWER EGG2.0製品における任意のコード実行の脆弱性につきまして
  • HP:ディサークル株式会社
  • 発表日時 2019/02/04

    ディサークルのPOWER EGGに任意のEL式を実行可能な脆弱性が確認された。影響を受けるのは、POWER EGG2.0 Ver2.0.1、Ver2.02 修正パッチ3及びそれ以前、 Ver2.1 修正パッチ4 及びそれ以前、Ver2.2 修正パッチ7 及びそれ以前、Ver2.3 修正パッチ9 及びそれ以前、Ver2.4 修正パッチ13 及びそれ以前、Ver2.5 修正パッチ12及びそれ以前、Ver2.6 修正パッチ8 及びそれ以前、Ver2.7 修正パッチ6 及びそれ以前、Ver2.7 自治体版 修正パッチ7 及びそれ以前、Ver2.8 修正パッチ6 及びそれ以前、Ver2.8c 修正パッチ5 及びそれ以前、Ver2.9 修正パッチ4 及びそれ以前で、POWER EGG2.0で利用しているOSSライブラリに、ブラウザから任意のコードをサーバーで実行できるという脆弱性が存在する。

    この脆弱性が悪用されると、第三者の遠隔操作よって、サーバを完全制御され、サーバ上で不正プログラムのインストールやデータの変更・削除などされる可能性がある。解決策として保守契約中の顧客については、利用中のバージョンに応じた緊急修正プログラムの適用を行うことによりこの脆弱性は解消される。また、HTTPまたはHTTPSポート番号宛の通信を信頼できるIPアドレスのみに限定するよう、IPフィルタリング機能またはルータ等にてフィルタリング設定を行うことでこの脆弱性に対する影響を軽減できる。




    あわせて読みたい