Network Configuration Manager ナレッジベース

ManageEngine > サポート > Network Configuration Manager ナレッジベース > セキュリティ/脆弱性 > 脆弱性「CVE-2022-36923」について
戻る

脆弱性「CVE-2022-36923」について

  • 作成日:2022年8月1日 | 更新日:2023年11月27日

概要

Network Configuration Managerにおける、脆弱性「CVE-2022-36923」(以下、本脆弱性)の詳細と対応についてご案内いたします。
本脆弱性の本社開発元による告知(英語)はこちらをご参照ください。

  • 国内の対象ビルド:12.5.605、12.5.476
    ビルド番号の確認手順はこちら
  • 国内のリリースビルドはこちら

脆弱性の詳細と影響

本脆弱性は、認証機能の迂回(バイパス)に関する脆弱性です。
Network Configuration Manager内で適切なリクエスト処理が実行されない事に起因して、ユーザーAPIキーへの非認証アクセスが可能となります。
これにより、ユーザーのAPIキーが認証なしに取得され、外部APIからアクセスされる危険性があります。

脆弱性への対応手順

本脆弱性は、ビルド12.5.606で修正済みです。
修正ビルド12.5.606は、2022年8月5日に正式リリースされました。

本脆弱性の回避のため、以下2つの手順を実施してください。

  1. 最新ビルド(12.5.606)へのアップグレード
  2. Network Configuration Managerで作成した全ユーザーアカウントを対象に、APIキーを再作成

1.最新ビルド(12.5.606)へのアップグレード

最新ビルドへのアップグレード方法は、こちらのナレッジに記載の手順をご確認ください。

最新ビルドのサービスパックは、「ManageEngine Community」からご取得ください。
ManageEngine Community
ManageEngine Community マニュアル

2.Network Configuration Managerで作成した全ユーザーアカウントを対象に、APIキーを再作成

Network Configuration Managerで作成した全てのユーザーアカウントごとに、APIキーを再作成してください。

Network Configuration Managerにログイン→画面右上の[歯車アイコン]→[Rest APIキー]→[キー再作成]をクリック

 

このナレッジの総閲覧回数: 468

関連ナレッジ:

  1. Apache Log4jの脆弱性「CVE-2021-44228」について
  2. データバックアップ、リストア(サーバー移行含む)について
  3. Device Expert:オプション”AD/LDAP/RADIUS認証が有効である場合、「ローカル認証」の許可”について
  4. 脆弱性「CVE-2023-34981」の影響有無について