公開日:2014/05/23 最終更新日:2014/05/23

JVNVU#96683802
Bizagi BPM Suite に複数の脆弱性

概要

Bizagi が提供する BPM Suite には、複数の脆弱性が存在します。

影響を受けるシステム

  • BPM Suite10.4 およびそれ以前

詳細情報

Bizagi が提供するBPM Suite には、クロスサイトスクリプティング (CWE-79, CVE-2014-2947) と SQL インジェクション (CWE-89, CVE-2014-2948) の脆弱性が存在します。

想定される影響

ユーザのウェブブラウザ上で、任意のスクリプトを実行される可能性があります。また、ログイン可能なユーザによって、データベースの情報を変更される可能性があります。

対策方法

アップデートし、パッチを適用する
開発者が提供する情報をもとに、最新版へバージョンアップし、適切なパッチの適用を行ってください。

2014年5月23日現在、クロスサイトスクリプティングの脆弱性は、バージョン 10.3 で修正されています。
また、SQL インジェクションの脆弱性に対しては、Hotfix (10.3 64 bit 版、10.4 64 bit 版) が提供されています。

ベンダ情報

ベンダ リンク
Bizagi BPM Suite Overview
Hotfix (Version 10.3 64bit)
Hotfix (Version 10.4 64bit)

参考情報

  1. CERT/CC Vulnerability Note VU#112412
    Bizagi BPM Suite contains multiple vulnerabilities

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE CVE-2014-2947
CVE-2014-2948
JVN iPedia