既知の脆弱性 CVE-2022-28987の概要と対応方法
作成日:2022年9月27日 | 更新日:2023年4月19日
ADSelfService PlusにおきましてログインAPIにおける脆弱性(CVE-2022-28987)が確認されました。
本脆弱性につきましては、2022年10月4日リリースのビルド6206で修正しました。
本ナレッジでは、当該脆弱性の詳細について記載します。
※本ナレッジの内容はグローバル本社のナレッジベース(英語)を翻訳、一部加筆したものです。
[CVE-2022-28987 – User enumeration vulnerability]
https://www.manageengine.com/products/self-service-password/advisory/CVE-2022-28987.html
<目次>
・脆弱性の概要
・脆弱性の重要度
・影響を受けるビルド
・ユーザーへの影響
・対応方法
脆弱性の概要
攻撃者は、ADSelfService PlusのログインAPIを使用してユーザーを列挙することにより、ドメイン内に存在する有効なユーザーを特定できます。
脆弱性の重要度
本脆弱性を重要度低(Low)と評価しています。
影響を受けるビルド
日本向けにリリースしているビルド6200までの、すべてのビルドが対象です。
(グローバル向けリリースでは、6201以前のすべてのビルドが対象です。)
ユーザーへの影響
攻撃者は、組織内に存在するユーザー名を列挙できます。
対応方法
- ADSelfService Plusを最新ビルド(6206)にアップグレード
- 管理者としてADSelfService Plusにログイン
- [管理]タブ-->[カスタマイズ]-->[ログイン設定]をクリック
- [一般]タブにある「ハッカーが有効なユーザーを探すのを防止します。」にチェックを入れる
- [構成]をクリック
- 表示された画面上で任意の疑似MFAプロセスを設定
- [保存]をクリック