公開日:2021/05/27 最終更新日:2021/05/27

JVNVU#99816551
Checkbox Survey に安全でないデシリアライゼーションの脆弱性

概要

Checkbox 社が提供する Checkbox Survey には、安全でないデシリアライゼーションの脆弱性が存在します。

影響を受けるシステム

  • Checkbox Survey 7.0 より前のバージョン

詳細情報

Checkbox 社が提供する Checkbox Survey は、Webサイトに調査機能を追加できる ASP.NET アプリケーションです。当該製品は安全でないデシリアライゼーションの脆弱性(CWE-502、CVE-2021-27852)が存在します。当該製品は、ビューステート機能への引数の検証を独自の処理で実装しているため、Message Authentication Code による検証が行われません。その結果、任意のデータをデシリアライズできる可能性があります。

想定される影響

遠隔の第三者によって、細工されたリクエストを受信し、サーバ上で任意のコードを実行される可能性があります。

対策方法

アップグレードする
開発者が提供する情報をもとに、最新版へアップデートしてください。
なお本脆弱性は、Checkbox Survey 7.0 以降で修正されています。
また開発者は上記バージョン以降のアップグレードができない場合、利用を停止することを推奨しています。

ベンダ情報

ベンダ リンク
checkbox checkbox

参考情報

  1. CERT/CC Vulnerability Note VU#706695
    Checkbox Survey insecurely deserializes ASP.NET View State data

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE
JVN iPedia