【最新ビルドで修正済み】Patch Manager Plusの脆弱性(CVE-2022-47523)について
作成日:2023年10月17日 | 更新日:2024年4月17日
【既知の不具合】Patch Manager Plus の脆弱性(CVE-2022-47523)について
対象ビルド
Patch Manager Plus 10.1.2228.19より前のビルド
ビルドの数え方および数え方の変更についてはこちらのナレッジをご覧ください。
※ 本脆弱性の Patch Manager Plus Cloud への影響はありません。
【問題】
Patch Manager Plusを含む、ManageEngineの複数製品の対象ビルドにおいて、認証済みSQLインジェクションの脆弱性が確認されました。
この脆弱性により、攻撃者は任意のクエリ実行およびデータベース内のエントリへのアクセス実行の可能性があります。
この脆弱性は、修正ビルド以降の各バージョン、ビルドにおいて、バリデーションの強化および特殊文字のエスケープ処理により修正されております。
- https://nvd.nist.gov/vuln/detail/CVE-2022-47523(NIST)
- https://jvndb.jvn.jp/ja/contents/2022/JVNDB-2022-004455.html(JVN)
- https://www.manageengine.com/products/desktop-central/CVE-2022-47523.html(Zoho)
【修正ビルド】
Patch Manager Plus 10.1.2228.19以降のビルド
【対処方法】
日本国内向け最新ビルドにおいて修正済みです。Patch Manager Plus 11.2 のビルドにアップグレードして対応します。
なお、日本国内向けリリースビルドではないビルドへアップグレードされた場合、日本国内向けのビルドにアップグレードできない場合があります。ご不明な点がございましたら、まずお問い合わせください。