【最新ビルドで修正済み】Desktop Centralの脆弱性(CVE-2021-28960)について
作成日:2021年12月1日 | 更新日:2022年2月9日
【既知の不具合】Desktop Centralの脆弱性(CVE-2021-28960)について
【対象ビルド】
Desktop Central 10.0.683 より前のビルド
※ 日本国内での最新ビルドが 10.0.642 のため、日本国内でリリースされている全てのビルドが対象となります。
【問題】
上記対象ビルドのDesktop Centralには、コマンドインジェクションの脆弱性が存在します (CVE-2021-28960)。
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-28960(CVE,英語)
- https://nvd.nist.gov/vuln/detail/CVE-2021-28960(NVD,英語)
- https://www.manageengine.com/products/desktop-central/unauthenticated-command-injection-vulnerability.html(Zoho Corporation,英語)
【詳細】
「今すぐ配布」「構成の適用」や手動パッチスキャン、手動インベントリスキャンなどの即時操作について、入力コマンドの不適切な処理により、サーバー側でコマンドインジェクションが実行されるおそれがあります。
外部からネットワークアクセスできない環境でDesktop Centralをご使用の場合、本脆弱性の影響は限定的と考えられます。
【対応方法】
日本国内向け最新版ビルドにアップグレードします。
緊急での対応が必要な場合は、サポートにお問い合わせください。
【修正ビルド】
Desktop Central 10.0.683