JVNVU#92683420
Apex One およびウイルスバスター コーポレートエディションにおける複数の脆弱性

Apex One およびウイルスバスター コーポレートエディションには、複数の脆弱性があります。

• Apex One 2019 CP8422 (Build 8400) より前のバージョン
• Apex One SaaS
• ウイルスバスター コーポレートエディション XG SP1 CP 5702より前のバージョン

Apex One およびウイルスバスター コーポレートエディションには、次の複数の脆弱性が存在します。

• 認証バイパス (CWE-287) - CVE-2020-24563

  CVSS v3	CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H	基本値: 7.8
  CVSS v2	AV:L/AC:L/Au:N/C:P/I:P/A:P	基本値: 4.6

• 境界外読み取り (CWE-125) - CVE-2020-24564, CVE-2020-24565, CVE-2020-25770, CVE-2020-25771, CVE-2020-25772

  CVSS v3	CVSS:3.0/AV:L/AC:L/PR:L/UI:R/S:U/C:N/I:L/A:H	基本値: 5.6
  CVSS v2	AV:L/AC:L/Au:S/C:P/I:P/A:P	基本値: 4.3

• 二重解放 (CWE-415) - CVE-2020-25773

  CVSS v3	CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H	基本値: 7.8
  CVSS v2	AV:L/AC:L/Au:N/C:P/I:P/A:P	基本値: 4.6

• 境界外読み取り (CWE-125) - CVE-2020-25774

  CVSS v3	CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:L/I:N/A:N	基本値: 3.3
  CVSS v2	AV:L/AC:L/Au:N/C:P/I:N/A:N	基本値: 2.1

• 権限昇格 (CWE-268) - CVE-2020-28572

  CVSS v3	CVSS:3.0/AV:L/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:L	基本値: 5.7
  CVSS v2	AV:L/AC:L/Au:S/C:P/I:P/A:P	基本値: 4.3

• 不適切な権限設定 (CWE-266) - CVE-2020-28573, CVE-2020-28576, CVE-2020-28577, CVE-2020-28582, CVE-2020-28583

  CVSS v3	CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L	基本値: 5.3
  CVSS v2	AV:L/AC:L/Au:N/C:N/I:N/A:P	基本値: 2.1

想定される影響は各脆弱性により異なりますが、次のような影響を受ける可能性があります。

• ローカルの第三者によって、エージェントのアンロードオプションのプロセスを操作されることにより権限昇格されたり、コード実行されたりする - CVE-2020-24563
• エージェントがインストールされた環境で、管理者権限を持たない第三者によって機微な情報が窃取される - CVE-2020-24564, CVE-2020-24565, CVE-2020-25770, CVE-2020-25771, CVE-2020-25772
• 第三者によって、管理サーバ上で任意コードを実行される - CVE-2020-25773
• 管理者権限を持たない第三者によって、管理サーバ内の機微な情報を窃取される - CVE-2020-25774
• エージェントの再インストール時に、権限のないユーザに悪意のあるコードを実行される - CVE-2020-28572
• 遠隔の第三者によって、認証不要でエージェントの総数の情報を窃取される - CVE-2020-28573, CVE-2020-28576, CVE-2020-28577, CVE-2020-28582, CVE-2020-28583

パッチを適用する
開発者が提供する情報をもとに、パッチを適用してください。

• Apex One 2019 CP8422 (Build 8400以降)
• ウイルスバスター コーポレートエディション XG SP1 CP 5702以降