Japan
サイト内の現在位置
CLUSTERPRO X における任意ファイル取得の脆弱性
掲載番号:NV21-007
脆弱性情報識別番号:CVE-2020-17408
概要
WebUI 機能にアクセス可能な第三者によって、任意のファイルを取得される可能性があります。
対象製品
CLUSTERPRO X
影響の有無
影響あり
対象となる製品のバージョン
CLUSTERPRO X 4.2 for Windows およびそれ以前
対処方法
以下のページを参照して、アップデートを適用してください。
・CLUSTERPRO X 4.1/X 4.2 for Windows アップデートモジュール (CPRO-XWA40-08)
https://www.support.nec.co.jp/View.aspx?id=9010109202
・EXPRESSCLUSTER X 4.1/X 4.2 for Windows update module (CPRO-XWA40-08E)
https://www.support.nec.co.jp/en/View.aspx?id=9510100319
また、以下の回避策を適用することで、本脆弱性の影響を軽減することが可能です。
・IPアドレスによるアクセス制限を有効にする。
・パスワードによるアクセス制限を有効にする。
・HTTPSによる接続を有効にする。
参考情報
NEC ExpressCluster ApplyConfig XML External Entity Processing Information Disclosure Vulnerability
https://www.zerodayinitiative.com/advisories/ZDI-20-1102/
CVE-2020-17408
https://nvd.nist.gov/vuln/detail/CVE-2020-17408
更新情報
- 2021/02/15
-
CLUSTERPRO X を登録しました。