【最新ビルドで修正済み】Desktop Centralの脆弱性(CVE-2022-23863)について
作成日:2022年2月1日 | 更新日:2022年10月19日
【既知の不具合】Desktop Centralの脆弱性(CVE-2022-23863)について
対象ビルド
Desktop Central 10.1.2137.9以前のビルド
※ 日本国内でリリースされているDesktop Central 10.0.644 以前のビルドも含まれます。
※ 日本国内でリリースされている Desktop Central 10.1.2119.10 (Desktop Central 10.1.2119.11 へのアップグレード時、最初に適用するサービスパック) が含まれます。一方で、Desktop Central 10.1.2119.11 は対象外です。
ビルドの数え方および数え方の変更についてはこちらのナレッジをご覧ください。
※ 本脆弱性の Desktop Central Cloud への影響はありません。
【問題】
上記対象ビルドのDesktop Centralには権限昇格の脆弱性が存在し、Desktop Central 製品内ユーザーが複数いる場合、上位の役割のユーザーのパスワードを変更可能な可能性があります(CVE-2022-23863)。
- https://pitstop.manageengine.com/portal/en/community/topic/security-update-fix-available-for-a-privilege-escalation-vulnerability(Zoho Corporation, 英語)
- https://www.manageengine.com/products/desktop-central/privilege-escalation-vulnerability.html(Zoho Corporation, 英語)
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-23863(CVE)
- https://nvd.nist.gov/vuln/detail/CVE-2022-23863(NIST)
【影響範囲】
Desktop Central 製品内ユーザーが複数存在し、ローカル認証を使用している場合にのみ本脆弱性の影響があります。
上記対象ビルドのDesktop Centralには、権限昇格の脆弱性が存在し、Administrator 以外の役割の Desktop Central 製品内ユーザー(Auditor, Guest, Patch Managerなど)がより上位の役割のユーザーのパスワードを変更可能な可能性があります。
この脆弱性によって Desktop Central 製品内ユーザー以外からの権限昇格を受けることはありません。
【対処方法】
日本国内向け最新ビルドで修正済みです。Desktop Central 10.1.2137.11 以降のビルドにアップグレードします。