【既知の不具合】Patch Manager Plus リモートコード実行に関する脆弱性について
作成日:2020年3月16日 | 更新日:2020年9月1日
本記事では、Patch Manager Plusのリモートコード実行に関する脆弱性について記載いたします。
【対象ビルド】
10.0.426以前のビルド
【事象】
一部のサーブレット内で、実行中インスタンスにおいて任意のファイル書き込みが可能だったために、信頼できないファイルのアップロードが可能であったものです。また、ユーザー定義のデータ入力において適切なバリデーションチェックがされていなかったことにより、信頼できないデータの逆シリアル化が可能であったものです。これら2つの問題を組み合わせることで、Patch Manager Plusがインストールされたコンピューターに対して任意のコードの実行が可能になります。
【対処方法】
ご利用中のPatch Manager Plusを10.0.426へのバージョンアップしてください。なお、バージョンアップ手順につきましてはこちらのナレッジをご覧ください。