「M-Files Server」に認証バイパスやローカルファイル読み取りの脆弱性

M-Filesが提供するドキュメント管理ソリューション「M-Files Server」に複数の脆弱性が明らかとなった。脆弱性を解消したアップデートが提供されている。

現地時間11月20日にアドバイザリ2件を公開し、明らかにしたもの。「CVE-2024-10127」は、LDAP認証におけるアルゴリズムの実装に問題があり、認証をバイパスされるおそれがある脆弱性。

「OpenLDAP」において匿名バインドをサポートする設定を有効化している場合に影響を受けるという。共通脆弱性評価システム「CVSSv4.0」のベーススコアは、「9.2」と評価されている。

あわせてローカルファイルインクルージョン（LFI）の脆弱性「CVE-2024-10126」が判明した。認証されたユーザーによって特定のファイルタイプをプレビュー機能経由で読み取ることが可能となる。CVSS基本値を「5.3」とした。

アドバイザリの公開時点で、脆弱性の悪用や公表は確認されていないとし、いずれも悪用される可能性は低いと説明している。

同社は「M-Files Server 24.11」「同24.8 LTS SR1」「同24.2 LTS SR3」「同23.8 LTS SR7」にて脆弱性へ対処した。

（Security NEXT - 2024/11/26 ） ツイート

PR

関連記事

「BIND 9」にサービス拒否の脆弱性 - 権威、リゾルバに影響
JR九州グループ会社にサイバー攻撃 - 従業員情報流出の可能性
米当局、Ciscoのコミュニケーション製品の脆弱性悪用に注意喚起
「Cisco Unified Communications」に深刻なRCE脆弱性 - 攻撃試行も確認
Oracle、四半期パッチで脆弱性337件を修正 - CVSS 9以上が27件
予約管理システムから個人情報流出の可能性 - ダイワロイネットホテルズ
誤送信やSNS投稿など個人情報関連事故を公表 - 日本小児理学療法学会
寄付金申請サービス侵害、第三者が管理者権限を不正利用 - CAC
ジモティー開発環境の侵害、自動ビルド用外部プログラムに不正コード
Ciscoがゼロデイ脆弱性を修正、永続化機能の除去も - 侵害調査は別途必要