「Dell EMC AppSync」に複数脆弱性 - アカウント乗っ取りのおそれも

アプリケーションにおけるデータをコピーし、管理するDell Technologies製のソフトウェア「Dell EMC AppSync」に複数の脆弱性が明らかとなった。アップデートが提供されている。

同社のアドバイザリによると、「GETリクエスト」により機密性の高いクエリ文字列を送信するため、セッションを乗っ取られるおそれがある脆弱性「CVE-2022-22551」が判明。

さらに認証試行の制限が甘く、ブルートフォース攻撃によってアカウントを乗っ取られるおそれがある脆弱性「CVE-2022-22553」、クリックジャッキングの脆弱性「CVE-2022-22552」のあわせて3件が明らかとなった。

共通脆弱性評価システム「CVSSv3.1」のベーススコアはそれぞれ「8.3」「8.1」「6.9」とレーティングされている。

「CVE-2022-22553」に関しては、米国立標準技術研究所（NIST）の脆弱性データベース「NVD」ではCVSS基本値を「9.8」としており、評価が異なる。「CVE-2022-22551」に関してもNVDによるスコアが「8.8」と高い。

また利用するサードパーティのコンポーネント「RESTEasy」「SimpleXML」に関する脆弱性をあわせて11件が明らかとなった。

同社では、1月19日にこれら脆弱性を修正した「同4.4.0.0」をリリース。利用者に対応を呼びかけている。

（Security NEXT - 2022/02/02 ） ツイート

PR

関連記事

ファイル転送ソフト「MOVEit Transfer」にDoS脆弱性 - 修正版公開
「VMware Tools」「Aria Operations」既知脆弱性、悪用事例の報告
米当局、「XWiki Platform」「Aria Operations」脆弱性を悪用リストに追加
組織の「ネット玄関口」狙う攻撃に注意 - 可視化や脆弱性対策の徹底を
米当局、「WSUS」脆弱性で対象サーバの特定や侵害監視を呼びかけ
「VMware Aria Operations」や「VMware Tools」に脆弱性 - 修正版を公開
「Kea DHCP」にサービス拒否の脆弱性 - アップデートが公開
「WordPress」のキャッシュプラグインにXSS脆弱性
プラネックス製モバイルルータ「ちびファイ4」に脆弱性
「Docker Compose」にパストラバーサル脆弱性 - 修正版を公開