ServiceDesk Plus オンプレミス版 ナレッジベース

ServiceDesk Plusにおける認証バイパスの脆弱性について


本ナレッジは、[Security advisory] Authentication bypass vulnerability in ServiceDesk Plus versions 11305 and belowおよび[Security advisory for CVE-2021-44077] Unauthenticated RCE vulnerability in ServiceDesk Plus versions up to 11305を基に記載しています。

ServiceDesk Plusにおきまして認証バイパスの脆弱性が確認されました。

脆弱性について

ServiceDesk PlusのいくつかのURLにおける認証バイパスの脆弱性が存在する可能性があります。

脆弱性の重要度

影響を受けるビルド

日本向けにリリースしているビルド11208以下が対象です。

日本でリリースしているビルドについては、ServiceDesk Plusリリース情報をご覧ください。

ユーザーへの影響

攻撃者はServiceDesk PlusのいくつかのURLを介して、ServiceDesk Plusのデータに不正にアクセスすることができます。これを行うため、攻撃者は 資産タブから任意の脆弱なServiceDesk PlusのURLパスを、適切な文字に置き換えて操作します。

また、攻撃者はこのURLを使用して認証プロセスを迂回し、攻撃に必要なデータを不正に取得することが可能です。攻撃者はユーザーデータへの不正アクセスやその後の攻撃を実行することができます。

脆弱性の影響を確認する方法

使用中のビルド番号がビルド11208以下であるかを確認します。

ビルドの確認方法は、ご利用中のビルド番号の確認方法についてをご覧ください。

対応方法

本脆弱性に対応したビルド11211にアップグレードしてください。

アップグレード手順については、日本語版最新ビルドへのアップグレードの流れについてをご覧ください。

脆弱性情報サイトではグローバル向けリリースの「ビルド11306」が修正されたビルドとして公開されています。
しかしながら、ビルド11306は日本で正式にリリースしていないため、ビルド11306にアップグレードするのではなく、ビルド11211へアップグレードしていただけますようお願い申し上げます。

 

2021年12月現在