Desktop Central オンプレミス版 ナレッジベース

【修正済】Desktop Centralの脆弱性(CVE-2020-10859)について


【既知の不具合】Desktop Centralの脆弱性(CVE-2020-10859)について

【対象ビルド】

Desktop Central 10.0.484以前のビルド

【問題】

Desktop Centralには危険なファイルを無検証でアップロード可能な脆弱性が存在します。( CVE-2020-10859 )。この脆弱性はWei氏によって報告されました。

【原因】

悪意あるパスを持つZIPファイルが生成された場合、ZIPファイルの解凍時に本脆弱性が悪用される可能性があります。
Windowsソフトウェアの依存ファイルアップロード機能に含まれる脆弱性により、ソフトウェアリポジトリにソフトウェアを追加する権限を持つユーザーは、適切な検証を回避して、任意のファイルをアップロードすることが可能となります。

【対処方法】

本脆弱性が修正されたDesktop Central 10.0.519へアップグレードします。