【重要】認証回避の脆弱性について [CVE-2021-44525]
作成日:2021年12月7日 | 更新日:2025年3月7日
本ページは、ManageEngine Password ManagerPro ビルド12001までで確認された認証回避の脆弱性に関するものです。 [CVE-2021-44525] 本脆弱性につきましては、2021年12月7日リリースのビルド12002で修正しました。
この脆弱性の重大性を考慮して、12001以前のビルドおよびバージョン(すべてのエディション)を使用するお客様に、最新ビルド(12002)へのアップグレードを強く推奨します。
※アップグレード用のサービスパックは以下のお客様専用サイトからダウンロード可能です。
アップグレードを開始する前に、アップグレード手順をご確認ください。サポートが必要な場合は、ManageEngine Communityよりお問い合わせください。
本ナレッジでは、当該脆弱性の詳細について記載します。
※本内容はグローバル本社のフォーラム(英語)を翻訳、一部加筆したものです。
https://pitstop.manageengine.com/portal/en/community/topic/security-advisory-for-cve-2021-44525-authentication-bypass-vulnerability-in-manageengine-password-manager-pro-1
脆弱性情報
CVE-2021-44525は、ManageEngine Password Manager Proのすべてのエディションのお客様に影響を及ぼします。この脆弱性により、攻撃者は、いくつかの特定のアプリケーションURLを介して、アプリケーションへ不正アクセス、操作することができます。
深刻度
高
影響
攻撃者は、製品の管理操作を可能にするリクエストURLを操作することで、この脆弱性を悪用する可能性があります。 主な管理操作は次のとおりです。
- 組織の削除
- プライバシー設定の更新
- 認証オプションの設定
- クエリレポートのカテゴリの管理の設定
- 緊急対策の設定
本脆弱性により、製品に保存されている特権アカウント情報、認証情報、パスワードが流出することはありません。
何が脆弱性につながったのですか?
一覧画面でステータスを処理するために使用されるアプリケーションフィルターの1つが適切に構成されておらず、このフィルターを使用して細工されたURLにより、認証されたサーブレットに適切な認証なしでアクセスできるようになります。 APIおよびその他のURL呼び出しは影響を受けません。
誰が影響を受けますか?
本脆弱性は、12001までのすべてのビルドならびにすべてのエディションを使用するお客様に影響を及ぼします。
どのように修正しましたか?
認証回避の脆弱性を解決するために、フィルターが適切に構成されていることを確認する追加の確認を設定しました。
現在のビルド/バージョンが脆弱性の対象か確認するにはどうすればよいですか?
Password Manager Pro Webクライアントの右上隅にある人型アイコンをクリックし、ドロップダウンから[製品について]を選択して、現在のビルドおよびバージョンを確認します。現在のビルド(すべてのエディション)が12001以下の場合、ご利用のビルド/バージョンは脆弱性の対象です。
重要な注意事項
アップグレードする前に、Password Manager Proのインストールフォルダー全体のバックアップを取り、そのコピーを別の場所に保管することを強くお勧めします。これにより、データが誤って失われるのを防ぎ、すべての設定をそのまま維持できます。バックエンドデータベースとしてMSSQLサーバーを使用している場合は、アップグレードする前にPassword Manager Proデータベースもバックアップしてください。アップグレードが正常に完了したら、バックアップを削除してください。
ご不便をおかけしお詫び申し上げます。ご質問やご不明な点がございましたら、ManageEngine Communityよりお問い合わせください。