【最新ビルドで修正済み】Desktop Centralの脆弱性(CVE-2021-46164, CVE-2021-46165, CVE-2021-46166)について
作成日:2022年4月20日 | 更新日:2022年4月20日
【既知の不具合】Desktop Centralの脆弱性(CVE-2021-46164, CVE-2021-46165, CVE-2021-46166)について
【対象ビルド】
Desktop Central 10.0.662 以前のすべてのビルド
※ 日本国内でリリースされている Desktop Central 10.0.644 以前のビルドが含まれます。一方で、Desktop Central 10.1.2137.11 は対象外です。
ビルドの数え方および数え方の変更についてはこちらのナレッジをご覧ください。
※ 本脆弱性の Desktop Central Cloud への影響はありません。
【問題】
上記対象ビルドの Desktop Central レポートモジュールには、リモートコード実行の脆弱性が存在し、以下のような被害を受ける可能性があります。
- Desktop Central のレポートモジュールへのフルアクセス権限を持つユーザーが、リモートコード実行の脆弱性を利用して任意のコマンドを実行可能です。(CVE-2021-46164)
- Desktop Central 起動時に、ファイルパスのエラーを発生させることができます。(CVE-2021-46165)
- レポートページから、DB内の個人情報などの機微な情報を表示できます。(CVE-2021-46166)
- https://www.manageengine.com/products/desktop-central/vulnerabilities-in-reports-module.html(Zoho Corporation, 英語)
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-46164(CVE)
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-46165(CVE)
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-46166(CVE)
【影響範囲】
- Desktop Centralにおいて、レポートモジュールへのアクセス権限をもつユーザーが悪用可能なリモートコード実行の脆弱性が確認されました。
- Desktop Centralサーバーの起動時、ファイルパスエラーが発生します。
- レポートページから、DB内の個人情報などの機微な情報を表示できます。
【対処方法】
日本国内向け最新ビルドにおいて修正済みです。Desktop Central 10.1.2137.11 以降のビルドアップグレードして対応します。
Desktop Central コンソール画面にアクセスするユーザーを追加する際、メールアドレスや電話番号を入力する欄があります。
メールアドレスは2要素認証の送信などに使用されますが、電話番号の入力は任意であり、現在のところ製品内で使用されることはありません(単なる連絡先情報として扱われます)。
特段の必要性が無い場合、電話番号は入力しない運用をおすすめいたします。
メールアドレスは2要素認証の送信などに使用されますが、電話番号の入力は任意であり、現在のところ製品内で使用されることはありません(単なる連絡先情報として扱われます)。
特段の必要性が無い場合、電話番号は入力しない運用をおすすめいたします。