脆弱性(CVE-2024-50053)について
本記事は「Stored XSS vulnerability in the attachments section of the Add Task form」をもとに作成しております。
概要
ServiceDesk Plusでストアド(貯蓄型)クロスサイトスクリプティングに関する脆弱性が確認されました。
重要度
中(Medium)と評価しています。
影響を受けるビルド
日本国内向けにリリースしているServiceDesk Plusでは、ビルド14860以下のすべてのビルドが対象です。
日本でリリースしているビルドについては、ServiceDesk Plusリリース情報をご覧ください。
ユーザーへの影響
タスクを追加/編集する権限を持つ技術担当者により、タスクの作成中に悪意のあるHTMLファイルがアップロードされると、
他の技術担当者や管理者がそのファイルを操作した場合に、ファイル内のスクリプトが実行されるリスクがあります。
脆弱性の影響を確認する方法
現在使用中のServiceDesk Plusがビルド14860以下かどうかを確認します。
ビルド番号の確認方法について、詳細は「ご利用中のビルドの確認方法について」をご覧ください。
対処方法
「日本語版最新ビルドへのアップグレードの流れ」を参照し、
本脆弱性に対応した、日本国内向けのビルド14940以上へアップグレードしてください。