サイト内の現在位置

コルソスにおけるアクセス制限不備の脆弱性

掲載番号:NV21-006
脆弱性情報識別番号:JVN#87164507

概要

コルソスにはアクセス制限不備の脆弱性が存在します。ブラウザコントロール上の履歴アクセス制御に不備があり、悪意ある第三者から攻撃された場合、ユーザーが権限を与えられていない履歴にアクセス可能となる危険性があります。

対象製品

コルソス

影響の有無

影響あり

対象となる製品のバージョン

CSDJ-B/H/D    01.08.00 以前
CSDJ-A    03.08.00 以前

対処方法

脆弱性を解消したファームウェアを提供しますので、脆弱性対策されたファームウェアにアップデートしてください。
https://www.necplatforms.co.jp/product/enkaku/info210215.html
 
[回避策]
ユーザーに履歴の閲覧権限を全て与えないことにより脆弱性の影響を回避できます。
(「ログイン履歴」、「動作履歴」、「コントロール履歴」、「通報履歴」どれか一つでも権限がある場合、影響を受けます。)

参考情報

謝辞

本脆弱性の発見者である 横浜国立大学 佐々木 貴之様、吉岡 克成様 に厚く御礼申し上げます。

更新情報

2021/02/15
コルソス を登録しました。