Patch Manager Plus オンプレミス版 ナレッジベース

【既知の不具合】Patch Manager Plus リモートコード実行に関する脆弱性について


本記事では、Patch Manager Plusのリモートコード実行に関する脆弱性について記載いたします。

【対象ビルド】

10.0.426以前のビルド

【事象】

一部のサーブレット内で、実行中インスタンスにおいて任意のファイル書き込みが可能だったために、信頼できないファイルのアップロードが可能であったものです。また、ユーザー定義のデータ入力において適切なバリデーションチェックがされていなかったことにより、信頼できないデータの逆シリアル化が可能であったものです。これら2つの問題を組み合わせることで、Patch Manager Plusがインストールされたコンピューターに対して任意のコードの実行が可能になります。

【対処方法】

ご利用中のPatch Manager Plusを10.0.426へのバージョンアップしてください。なお、バージョンアップ手順につきましてはこちらのナレッジをご覧ください。