【最新ビルドで修正済み】Desktop Centralの脆弱性(クロスサイトスクリプティング)について
作成日:2020年11月10日 | 更新日:2022年2月9日
【既知の不具合】Desktop Centralの脆弱性について
【対象ビルド】
Desktop Central 10.0.585以前のビルド
【問題】
Desktop Centralのプロキシ設定のドメイン一覧ページにおいて、クロスサイトスクリプティングの脆弱性が存在します。
- https://www.manageengine.com/products/desktop-central/cross-site-scripting.html (Zoho Corporation, 英語)
【詳細】
Desktop Centralのプロキシ設定 > ドメイン一覧ページにおいて、クロスサイトスクリプティングの脆弱性があります。この脆弱性によって、権限を持つユーザーが pageType / urlTypeパラメータ から格納型クロスサイトスクリプティングを実行可能になります。
本脆弱性単体では、権限のないユーザーがアクセスすることや、権限のないユーザーが脆弱性を悪用することはできません。本脆弱性は、Walter氏によって報告されました。
Desktop Centralコンソール画面へのユーザーログイン認証においては、パスワードポリシーの設定、Google Authenticatorやメールワンタイムパスワードによる2段階認証といったセキュリティを強化する機能がご利用いただけます。また、ローカルアカウント認証に加えてActiveDirectoryドメインアカウントによるログイン、SAML認証等が利用可能です。
【解決方法】
日本国内向け最新ビルドにアップグレードします。
【修正ビルド】
Desktop Central 10.0.586以降