【修正済】Desktop Centralの脆弱性(CVE-2020-10859)について
作成日:2020年5月14日 | 更新日:2020年7月14日
【既知の不具合】Desktop Centralの脆弱性(CVE-2020-10859)について
【対象ビルド】
Desktop Central 10.0.484以前のビルド
【問題】
Desktop Centralには危険なファイルを無検証でアップロード可能な脆弱性が存在します。( CVE-2020-10859 )。この脆弱性はWei氏によって報告されました。
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-10859(CVE,英語)
- https://nvd.nist.gov/vuln/detail/CVE-2020-10859(米国国立標準技術研究所, 英語)
- https://www.manageengine.com/products/desktop-central/arbitrary-file-upload-vulnerability.html(Zoho Corporation, 英語)
【原因】
悪意あるパスを持つZIPファイルが生成された場合、ZIPファイルの解凍時に本脆弱性が悪用される可能性があります。
Windowsソフトウェアの依存ファイルアップロード機能に含まれる脆弱性により、ソフトウェアリポジトリにソフトウェアを追加する権限を持つユーザーは、適切な検証を回避して、任意のファイルをアップロードすることが可能となります。
【対処方法】
本脆弱性が修正されたDesktop Central 10.0.519へアップグレードします。