SQLインジェクションに関する複数の脆弱性について(CVE-2022-40300)
作成日:2022年9月12日 | 更新日:2023年4月25日
SQLインジェクションに関する複数の脆弱性により、Password Manager Proに重要なセキュリティ脆弱性の問題 (CVE-2022-40300)が検出され、ビルド12121にて修正いたしました。
脆弱性の概要
これらの脆弱性により、攻撃者はカスタムクエリを実行し、脆弱性のあるリクエストを使用してデータベースのテーブルエントリにアクセスすることができました。
特殊文字をエスケープすることで本脆弱性を解消しました。
本ナレッジの内容はグローバル本社の下記ページ(英語)を翻訳、一部日本向けに編集したものです。
https://www.manageengine.com/products/passwordmanagerpro/advisory/cve-2022-40300.html
深刻度
クリティカル
影響範囲の詳細
製品 |
影響を受けるビルド |
修正ビルド |
リリース日 |
Password Manager Pro |
12120以前のビルド |
12121 |
2022/09/16 |
※現在ご使用のビルド確認方法は下記の通りです。
■Password Manager Pro Webクライアントの右上隅にある人型アイコンをクリックし、ドロップダウンから[製品について]を選択して、現在のビルドおよびバージョンを確認
対処方法
ビルド12121にて修正を行いました。ビルド12121以降へのアップグレードをお願いいたします。