021-010706

Cybozu Desktop

7人の方が関心を示しています。

[CyVDB-2460]任意のコードを実行される脆弱性

種別
脆弱性
機能
  • 設定
再現バージョン
  • 2.0.23(Win)
  • 2.0.26(Win)
  • 2.0.28(Win)
  • 2.1.11(Win)
  • 2.2.20(Win)
  • 2.2.22(Win)
  • 2.2.24(Win)
  • 2.2.32(Win)
  • 2.2.36(Win)
  • 2.2.38(Win)
  • 2.2.40(Win)
改修バージョン
2.2.42(Win)
公開日
2020-05-22
更新日
2020-05-26
この脆弱性を悪用された場合、任意のコードを実行される可能性があります。

脆弱性タイプ:

  • 不適切な入力確認

脆弱性の基本評価:

  • 攻撃元区分(AV):ネットワーク
  • 攻撃条件の複雑さ(AC):高
  • 必要な特権レベル(PR):不要(攻撃前に認証(ログイン等)が不要である)
  • ユーザ関与レベル(UI):要
  • 影響の想定範囲(S):変更あり(影響範囲が脆弱性のあるコンポーネント以外にも広がる可能性がある)
  • 機密性への影響(C):高(機密情報や重要なシステムファイルが参照可能)
  • 完全性への影響(I):高(機密情報や重要なシステムファイルが改ざん可能)
  • 可用性への影響(A):高(対象コンポーネントを完全に停止させることができる)

CVSS基本値:

  • 8.3(High/重要)

補足:


【回避方法】

次のバージョンの製品で本現象を改修しています。バージョンアップを検討してください。

  • バージョン 2.2.42(Win)のCybozu Desktop
ダウンロードURL:https://cybozu.co.jp/info/desktop2/#download

------------------------------------------------------------

【更新履歴】
2020/05/26 ダウンロードURLを追記しました。

関連記事