公開日:2024/06/03 最終更新日:2024/06/03

JVN#43215077
UNIVERSAL PASSPORT RXにおける複数の脆弱性

概要

日本システム技術株式会社が提供するUNIVERSAL PASSPORT RXには、複数の脆弱性が存在します。

影響を受けるシステム

CVE-2023-42427および脆弱なサードパーティ製コンポーネントの使用

  • UNIVERSAL PASSPORT RX バージョン 1.0.0から1.0.7
CVE-2023-51436
  • UNIVERSAL PASSPORT RX バージョン 1.0.0から1.0.8

詳細情報

日本システム技術株式会社が提供するUNIVERSAL PASSPORT RXには、次の複数の脆弱性が存在します。

  • クロスサイトスクリプティング(CWE-79
    • CVSS:3.0/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N 基本値 5.4
    • CVE-2023-42427
  • 脆弱なサードパーティ製コンポーネントの使用(CWE-1395
    当該製品で使用しているPrimefacesライブラリにおいて過去に発見されている既知の脆弱性

  • クロスサイトスクリプティング(CWE-79
    • CVSS:3.0/AV:N/AC:L/PR:H/UI:R/S:C/C:L/I:L/A:N 基本値 4.8
    • CVE-2023-51436

想定される影響

想定される影響は各脆弱性により異なりますが、次のような影響を受ける可能性があります。

  • 当該製品を使用しているユーザのウェブブラウザ上で、任意のスクリプトを実行される(CVE-2023-42427、CVE-2023-51436)
  • 当該製品で使用しているPrimefacesライブラリの既知の脆弱性の影響を受けて、システム上で任意のコードを実行される

対策方法

CVE-2023-42427および脆弱なサードパーティ製コンポーネントの使用
両脆弱性の影響を受ける可能性のあるユーザへの周知と対象製品の修正バージョンへのアップデートを完了しておりユーザによる対策は不要です。

CVE-2023-51436
アップデートするか、個別対応プログラムを適用する
本JVNに掲載されている脆弱性はすべて次のバージョンで修正されています。

  • UNIVERSAL PASSPORT RX バージョン 1.0.9
詳細は、開発者に問い合わせてください。

ベンダ情報

ベンダ リンク
日本システム技術株式会社 UNIVERSAL PASSPORT RX

参考情報

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

CVE-2023-42427
この脆弱性情報は、製品利用者への周知を目的に、開発者がJPCERT/CCに報告し、JPCERT/CCが開発者との調整を行いました。

Primefacesライブラリの既知の脆弱性
この脆弱性が当該製品に存在することを下記の方が製品開発者に直接報告し、製品開発者との調整を経て、製品利用者への周知を目的にJVNでの公表に至りました。
報告者:東京電機大学 森田慧一 氏、渡辺康介 氏

CVE-2023-51436
この脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方がIPAに報告し、JPCERT/CCが開発者との調整を行いました。
報告者:東京情報大学 松本 悠希 氏

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE CVE-2023-42427
CVE-2023-51436
JVN iPedia JVNDB-2024-000057