Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

インフォサイエンスの複数ログ管理製品に脆弱性 - OSコマンド実行のおそれ

インフォサイエンスの複数ログ管理製品に「OSコマンドインジェクション」の脆弱性が含まれていることが明らかとなった。

「Logstorage 8.0.0」「ELC Analytics 3.0.0」や以前のバージョンにおいて「OSコマンドインジェクション」の脆弱性「CVE-2020-5626」が判明したもの。

これら製品においてログをFTP経由でアップロードする際、対象ファイル名の指定に不備があると、細工されたログをアップロードされた場合に任意のOSコマンドを実行されるおそれがある。共通脆弱性評価システム「CVSSv3.0」のベーススコアは「7.5」。

同脆弱性は、三井物産セキュアディレクションの塚本泰三氏が情報処理推進機構(IPA)へ報告したもので、JPCERTコーディネーションセンターが調整を実施。脆弱性を修正したアップデートが提供されているほか、緩和策がアナウンスされている。

(Security NEXT - 2021/01/28 ) このエントリーをはてなブックマークに追加

PR

関連記事

ウェブアプリや周辺インフラにも対応する脆弱性診断サービス
「vCenter Server」脆弱性、実証コード公開済み - 5月28日ごろより探索も
「Adobe Acrobat/Reader」に深刻な脆弱性 - アップデートがリリース
複数のOSSメッセージブローカーにサービス拒否の脆弱性
「Chrome 91.0.4472.101」が公開 - ゼロデイ脆弱性に対応
「ウイルスバスター for Home Network」に3件の脆弱性
11製品にセキュリティアップデート、深刻な脆弱性も - Adobe
SAP、6月の月例パッチを公開 - 適用優先度高い脆弱性も
MS、6月の月例パッチをリリース - 脆弱性6件がすでに悪用
「VMware vCenter Server」の深刻な脆弱性に悪用の動き - 米政府が注意喚起