CLUSTERPRO X における任意ファイル取得の脆弱性

掲載番号:NV21-007
脆弱性情報識別番号:CVE-2020-17408

概要

WebUI 機能にアクセス可能な第三者によって、任意のファイルを取得される可能性があります。

対象製品

CLUSTERPRO X

影響の有無

影響あり

対象となる製品のバージョン

CLUSTERPRO X 4.2 for Windows およびそれ以前

対処方法

以下のページを参照して、アップデートを適用してください。
・CLUSTERPRO X 4.1/X 4.2 for Windows アップデートモジュール (CPRO-XWA40-08)
https://www.support.nec.co.jp/View.aspx?id=9010109202
・EXPRESSCLUSTER X 4.1/X 4.2 for Windows update module (CPRO-XWA40-08E)
https://www.support.nec.co.jp/en/View.aspx?id=9510100319

また、以下の回避策を適用することで、本脆弱性の影響を軽減することが可能です。
  ・IPアドレスによるアクセス制限を有効にする。
  ・パスワードによるアクセス制限を有効にする。
  ・HTTPSによる接続を有効にする。

参考情報

NEC ExpressCluster ApplyConfig XML External Entity Processing Information Disclosure Vulnerability
https://www.zerodayinitiative.com/advisories/ZDI-20-1102/

CVE-2020-17408
https://nvd.nist.gov/vuln/detail/CVE-2020-17408

更新情報

2021/02/15
CLUSTERPRO X を登録しました。