【既知の不具合】Desktop Centralの脆弱性(クロスサイトスクリプティング)について
作成日:2020年11月10日 | 更新日:2020年11月11日
【既知の不具合】Desktop Centralの脆弱性について
【対象ビルド】
Desktop Central 10.0.585以前のビルド
【問題】
Desktop Centralのプロキシ設定のドメイン一覧ページにおいて、クロスサイトスクリプティングの脆弱性が存在します。
- 共通脆弱性識別子 未定 (CVE,英語)
- 未定 (米国国立標準技術研究所, 英語)
- https://www.manageengine.com/products/desktop-central/cross-site-scripting.html (Zoho Corporation, 英語)
【詳細】
Desktop Centralのプロキシ設定 > ドメイン一覧ページにおいて、クロスサイトスクリプティングの脆弱性があります。この脆弱性によって、権限を持つユーザーが pageType / urlTypeパラメータ から格納型クロスサイトスクリプティングを実行可能になります。
本脆弱性単体では、権限のないユーザーがアクセスすることや、権限のないユーザーが脆弱性を悪用することはできません。本脆弱性は、Walter氏によって報告されました。
Desktop Centralコンソール画面へのユーザーログイン認証においては、パスワードポリシーの設定、Google Authenticatorやメールワンタイムパスワードによる2段階認証といったセキュリティを強化する機能がご利用いただけます。また、ローカルアカウント認証に加えてActiveDirectoryドメインアカウントによるログイン、SAML認証等が利用可能です。
Desktop Centralコンソール画面へのユーザーログイン認証においては、パスワードポリシーの設定、Google Authenticatorやメールワンタイムパスワードによる2段階認証といったセキュリティを強化する機能がご利用いただけます。また、ローカルアカウント認証に加えてActiveDirectoryドメインアカウントによるログイン、SAML認証等が利用可能です。
【解決方法】
今後のアップグレードをお待ちください。
【修正予定ビルド】
Desktop Central 10.0.586以降