公開日:2021/05/27 最終更新日:2021/05/27
JVNVU#99816551
Checkbox Survey に安全でないデシリアライゼーションの脆弱性
Checkbox 社が提供する Checkbox Survey には、安全でないデシリアライゼーションの脆弱性が存在します。
- Checkbox Survey 7.0 より前のバージョン
Checkbox 社が提供する Checkbox Survey は、Webサイトに調査機能を追加できる ASP.NET アプリケーションです。当該製品は安全でないデシリアライゼーションの脆弱性(CWE-502、CVE-2021-27852)が存在します。当該製品は、ビューステート機能への引数の検証を独自の処理で実装しているため、Message Authentication Code による検証が行われません。その結果、任意のデータをデシリアライズできる可能性があります。
遠隔の第三者によって、細工されたリクエストを受信し、サーバ上で任意のコードを実行される可能性があります。
アップグレードする
開発者が提供する情報をもとに、最新版へアップデートしてください。
なお本脆弱性は、Checkbox Survey 7.0 以降で修正されています。
また開発者は上記バージョン以降のアップグレードができない場合、利用を停止することを推奨しています。
ベンダ | リンク |
checkbox | checkbox |
-
CERT/CC Vulnerability Note VU#706695
Checkbox Survey insecurely deserializes ASP.NET View State data