更新:「Proself」における XML 外部実体参照 (XXE) に関する脆弱性について(JVN#95981460)

情報セキュリティ06

概要

株式会社ノースグリッドが提供する「Proself」は、オンラインストレージ構築パッケージです。「Proself」には、XML 外部実体参照 (XXE) に関する脆弱性が存在します。
細工されたリクエストに含まれる不正な XML データを当該製品が処理することで、サーバ上のアカウント情報を含む任意のファイルを窃取される可能性があります。
同脆弱性を悪用する攻撃がすでに確認されているため、できるだけ早急に、製品開発者が提供する情報をもとに、アップデートするか、ワークアラウンドを実施してください。

対象

次の製品が対象です。

 ・Proself Enterprise Edition Ver5.62 およびそれ以前
 ・Proself Standard Edition Ver5.62 およびそれ以前
 ・Proself Gateway Edition Ver1.65 およびそれ以前
 ・Proself Mail Sanitize Edition Ver1.08 およびそれ以前

開発者によると、Proself の全てのエディション、およびバージョンが本脆弱性の影響を受けるとのことです。

対策

1.アップデートする

開発者が提供する情報をもとに、最新版へアップデートしてください。
 ・Proself Enterprise Edition Ver5.63
 ・Proself Standard Edition Ver5.63

--- 2023 年 10 月 26 日更新 ---
 ・Proself Gateway Edition Ver1.66
 ・Proself Mail Sanitize Edition Ver1.09

詳しくは、開発者が提供する下記サイトの情報をご確認ください。

2.ワークアラウンドを実施する

開発者によると、アップデート版を適用するまでの間、暫定対応を実施することで、本脆弱性の影響を回避することが可能とのことです。
詳細は開発者が提供する情報を確認してください。

3.現行製品の利用を停止し、後続製品に乗り換える

次のバージョンではサポートが終了しており、アップデートはリリースされないため、利用を停止するか Ver.5 以降の後継製品への乗り換えを検討してください。
 ・Proself Enterprise/Standard Edition Ver.4 およびそれ以前


参照:IPA 情報処理推進機構


-脆弱性