ADSelfService Plus ナレッジベース

既知の脆弱性 CVE-2022-28987の概要と対応方法


ADSelfService PlusにおきましてログインAPIにおける脆弱性(CVE-2022-28987)が確認されました。
本脆弱性につきましては、2022年10月4日リリースのビルド6206で修正しました。

本ナレッジでは、当該脆弱性の詳細について記載します。

※本ナレッジの内容はグローバル本社のナレッジベース(英語)を翻訳、一部加筆したものです。
[CVE-2022-28987 – User enumeration vulnerability] https://www.manageengine.com/products/self-service-password/advisory/CVE-2022-28987.html

<目次>
脆弱性の概要
脆弱性の重要度
影響を受けるビルド
ユーザーへの影響
対応方法

脆弱性の概要

攻撃者は、ADSelfService PlusのログインAPIを使用してユーザーを列挙することにより、ドメイン内に存在する有効なユーザーを特定できます。

脆弱性の重要度

本脆弱性を重要度低(Low)と評価しています。

影響を受けるビルド

日本向けにリリースしているビルド6200までの、すべてのビルドが対象です。
(グローバル向けリリースでは、6201以前のすべてのビルドが対象です。)

ユーザーへの影響

攻撃者は、組織内に存在するユーザー名を列挙できます。

対応方法

  1. ADSelfService Plusを最新ビルド(6206)にアップグレード
  2. 管理者としてADSelfService Plusにログイン
  3. [管理]タブ-->[カスタマイズ]-->[ログイン設定]をクリック
  4. [一般]タブにある「ハッカーが有効なユーザーを探すのを防止します。」にチェックを入れる
  5. [構成]をクリック
  6. 表示された画面上で任意の疑似MFAプロセスを設定
  7. [保存]をクリック