Apache XML-RPC (別名 ws-xmlrpc) ライブラリ 3.1.3 における脆弱性について (CVE-2022-35405)
作成日:2022年6月27日 | 更新日:2023年4月25日
サードパーティライブラリの脆弱性により、Password Manager Proに重要なセキュリティ脆弱性の問題 (CVE-2022-35405)が検出され、ビルド12101にて修正いたしました。
脆弱性についての概要
Password Manager Pro で使用している Apache XML-RPC (別名 ws-xmlrpc) ライブラリ 3.1.3 において、リモート攻撃者が[ex:serializable]要素で細工したシリアライズされた Java オブジェクトを介し、任意コードを実行可能な脆弱性が発見されました。デシリアライズを無効にすることでこの問題を解消しました。
深刻度
クリティカル
Password Manager Pro への影響
この脆弱性により、Password Manager Proをインストールした環境において、ホストを悪用したリモートコードが実行される可能性があります。この脆弱性を悪用するために、認証は不要です。
影響範囲の詳細
製品 |
影響を受けるビルド |
修正ビルド |
リリース日 |
Password Manager Pro |
12100以前のビルド |
12101 |
2022/06/27 |
※現在ご使用のビルド確認方法は下記の通りです。
■Password Manager Pro Webクライアントの右上隅にある人型アイコンをクリックし、ドロップダウンから[製品について]を選択して、現在のビルドおよびバージョンを確認
対処方法
ビルド12101で対応いたしました。ビルド12101以降へのアップグレードをお願いいたします。