Password Manager Pro ナレッジベース

ManageEngine > サポート > Password Manager Pro ナレッジベース > 脆弱性情報 > SQLインジェクションに関する複数の脆弱性について(CVE-2022-40300)
戻る

SQLインジェクションに関する複数の脆弱性について(CVE-2022-40300)

  • 作成日:2022年9月12日 | 更新日:2023年4月25日

SQLインジェクションに関する複数の脆弱性により、Password Manager Proに重要なセキュリティ脆弱性の問題 (CVE-2022-40300)が検出され、ビルド12121にて修正いたしました。

脆弱性の概要

これらの脆弱性により、攻撃者はカスタムクエリを実行し、脆弱性のあるリクエストを使用してデータベースのテーブルエントリにアクセスすることができました。
特殊文字をエスケープすることで本脆弱性を解消しました。

本ナレッジの内容はグローバル本社の下記ページ(英語)を翻訳、一部日本向けに編集したものです。
https://www.manageengine.com/products/passwordmanagerpro/advisory/cve-2022-40300.html

深刻度

クリティカル

影響範囲の詳細

製品

影響を受けるビルド

修正ビルド

リリース日

Password Manager Pro

12120以前のビルド

12121

2022/09/16

 

※現在ご使用のビルド確認方法は下記の通りです。
■Password Manager Pro Webクライアントの右上隅にある人型アイコンをクリックし、ドロップダウンから[製品について]を選択して、現在のビルドおよびバージョンを確認

対処方法

ビルド12121にて修正を行いました。ビルド12121以降へのアップグレードをお願いいたします。

このナレッジの総閲覧回数: 500

関連ナレッジ:

  1. Apache XML-RPC (別名 ws-xmlrpc) ライブラリ 3.1.3 における脆弱性について (CVE-2022-35405)
  2. SQLインジェクションに関連した脆弱性について(CVE-2022-47523)
  3. Spring Frameworkに関する脆弱性(CVE-2022-22965 / CVE-2022-22963)について
  4. 【重要】認証回避の脆弱性について [CVE-2021-44525]