ITよろづや

ITの参考になる情報を備忘録代わりに残していきます

NEC ソフトェアWAF InfoCage SiteShell 脆弱性 CVE-2020-5632 権限昇格に悪用される危険性

NEC ソフトェアWAF InfoCage SiteShell 脆弱性 CVE-2020-5632 権限昇格に悪用される危険性があるそうです。こちらの製品を利用している場合は、対応が必要です。

 

NECが提供するウェブアプリケーションファイアウォール(WAF)の「InfoCage SiteShell」に、サービス実行ファイルの書き換えが可能となる脆弱性が判明したとのこと。

 

以下は原文まま抜粋です。

 

同製品のインストールフォルダ内に設置されるサービス実行ファイルの権限設定に脆弱性「CVE-2020-5632」が明らかとなったもの。「IIS版」「Apache Windows版」のいずれも影響を受ける。

問題のサービス実行ファイルには、書き換え可能となる権限がすべてのユーザーに付与されており、同サーバにログイン可能なユーザーによって権限の昇格に悪用されるおそれがある。

同社では「同V4.2」から「同V2.0」までについて、脆弱性を修正したアップデートをリリースした。「同V1.6」および以前のバージョンについても脆弱性の影響を受けるが、サポートが終了しているとして、「同V2.0」以降へバージョンアップするよう求めている。

 

情報元

【セキュリティ ニュース】NECのソフトェアWAFに脆弱性 - 権限昇格に悪用されるおそれ(1ページ目 / 全1ページ):Security NEXT

 

続いてJVNによるスコア情報です。

 

CVSS v3 による深刻度
基本値: 7.8 (重要) [IPA値]
攻撃元区分: ローカル
攻撃条件の複雑さ: 低
攻撃に必要な特権レベル: 低
利用者の関与: 不要
影響の想定範囲: 変更なし
機密性への影響(C): 高
完全性への影響(I): 高
可用性への影響(A): 高

 

CVSS v2 による深刻度
基本値: 6.8 (警告) [IPA値]
攻撃元区分: ローカル
攻撃条件の複雑さ: 低
攻撃前の認証要否: 単一
機密性への影響(C): 全面的
完全性への影響(I): 全面的
可用性への影響(A): 全面的

 

ベンダ情報です。

インストールしたファイルに Everyone による変更権限が付与される際のInfoCage SiteShellの対応について: Webアプリケーションファイアウォール(WAF) InfoCage SiteShell | NEC

 

Anker PowerCore Essential 20000 (モバイルバッテリー 超大容量 20000mAh) 【USB-C入力ポート/PSE認証済/PowerIQ/低電流モード搭載】iPhone iPad Android 各種対応 (ブラック)