Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

「M-Files Server」に認証バイパスやローカルファイル読み取りの脆弱性

M-Filesが提供するドキュメント管理ソリューション「M-Files Server」に複数の脆弱性が明らかとなった。脆弱性を解消したアップデートが提供されている。

現地時間11月20日にアドバイザリ2件を公開し、明らかにしたもの。「CVE-2024-10127」は、LDAP認証におけるアルゴリズムの実装に問題があり、認証をバイパスされるおそれがある脆弱性。

「OpenLDAP」において匿名バインドをサポートする設定を有効化している場合に影響を受けるという。共通脆弱性評価システム「CVSSv4.0」のベーススコアは、「9.2」と評価されている。

あわせてローカルファイルインクルージョン(LFI)の脆弱性「CVE-2024-10126」が判明した。認証されたユーザーによって特定のファイルタイプをプレビュー機能経由で読み取ることが可能となる。CVSS基本値を「5.3」とした。

アドバイザリの公開時点で、脆弱性の悪用や公表は確認されていないとし、いずれも悪用される可能性は低いと説明している。

同社は「M-Files Server 24.11」「同24.8 LTS SR1」「同24.2 LTS SR3」「同23.8 LTS SR7」にて脆弱性へ対処した。

(Security NEXT - 2024/11/26 ) このエントリーをはてなブックマークに追加

関連リンク

PR

関連記事

委託先コンサルが個人情報含む記憶媒体を紛失 - 旭市
職員が患者情報を使用、他医療機関の開業を案内 - 済生会宇都宮病院
設定ミスでイベント申込者情報が閲覧可能に - 開催中止に
サーバがランサム被害、影響など詳細を調査 - 金子農機
「SAP」が月例更新、16件の新規アドバイザリ - 3件が「クリティカル」
「nginx」に複数脆弱性、「クリティカル」も - 修正版を公開
「Oracle EBS」やビル設備向けプロトコルの脆弱性を悪用する攻撃
「Veeam Updater」に権限昇格の脆弱性 - root権限取得のおそれ
Windows版「Zoom」に深刻な脆弱性 - 最新版で修正済み
ゲーム利用者の内部識別子を広告ツールに外部送信 - LINEヤフー