ServiceDesk Plusにおける認証バイパスの脆弱性について
本ナレッジは、[Security advisory] Authentication bypass vulnerability in ServiceDesk Plus versions 11305 and belowおよび[Security advisory for CVE-2021-44077] Unauthenticated RCE vulnerability in ServiceDesk Plus versions up to 11305を基に記載しています。
ServiceDesk Plusにおきまして認証バイパスの脆弱性が確認されました。
脆弱性について
ServiceDesk PlusのいくつかのURLにおける認証バイパスの脆弱性が存在する可能性があります。
脆弱性の重要度
高
影響を受けるビルド
日本向けにリリースしているビルド11208以下が対象です。
日本でリリースしているビルドについては、ServiceDesk Plusリリース情報をご覧ください。
ユーザーへの影響
攻撃者はServiceDesk PlusのいくつかのURLを介して、ServiceDesk Plusのデータに不正にアクセスすることができます。これを行うため、攻撃者は 資産タブから任意の脆弱なServiceDesk PlusのURLパスを、適切な文字に置き換えて操作します。
また、攻撃者はこのURLを使用して認証プロセスを迂回し、攻撃に必要なデータを不正に取得することが可能です。攻撃者はユーザーデータへの不正アクセスやその後の攻撃を実行することができます。
脆弱性の影響を確認する方法
使用中のビルド番号がビルド11208以下であるかを確認します。
ビルドの確認方法は、ご利用中のビルド番号の確認方法についてをご覧ください。
対応方法
本脆弱性に対応したビルド11211にアップグレードしてください。
アップグレード手順については、日本語版最新ビルドへのアップグレードの流れについてをご覧ください。
しかしながら、ビルド11306は日本で正式にリリースしていないため、ビルド11306にアップグレードするのではなく、ビルド11211へアップグレードしていただけますようお願い申し上げます。
2021年12月現在