JVNVU#98433240
Iagona製ScrutisWebにおける複数の脆弱性

Iagonaが提供するScrutisWebには、複数の脆弱性が存在します。

• ScrutisWeb 2.1.37およびそれ以前のバージョン

Iagonaが提供するScrutisWebには、次の複数の脆弱性が存在します。

• 絶対パストラバーサル (CWE-36) - CVE-2023-33871
• ユーザ識別情報操作による権限チェック回避 (CWE-639) - CVE-2023-38257
• ハードコードされた暗号鍵の使用 (CWE-321) - CVE-2023-35763
• アップロードするファイルの検証が不十分 (CWE-434) - CVE-2023-35189

脆弱性を悪用された場合、次のような影響を受ける可能性があります。

• 遠隔の第三者によって、webroot外の任意のファイルにアクセスされる - CVE-2023-33871
• 遠隔の第三者によって、ユーザのログイン名や暗号化されたパスワードを含むプロファイル情報を窃取される - CVE-2023-38257
• ユーザによって、暗号化されたパスワードを復号される - CVE-2023-35763
• 遠隔の第三者によって、悪意あるペイロードをアップロードされ、実行される - CVE-2023-35189

アップデートする
開発者は、アップデートを提供しています。

詳細は、開発者にご確認ください。