ServiceDesk Plusの脆弱性(CVE-2021-44526)について
本ナレッジは、[Security advisory for CVE-2021-44526 and CVE-2021-44515] Authentication bypass vulnerabilities in ServiceDesk Plus and Desktop Centralを基に記載しています。
脆弱性について
ServiceDesk Plusにおいて、認証バイパスの脆弱性(CVE-2021-44526)が存在します。
※CVE-2021-44515については、ServiceDesk Plusバージョン11.3以上(日本未リリース)またはServiceDesk PlusとDesktop Centralを連携している場合が該当します。
※ServiceDesk Plusバージョン11.2以下をご利用の場合、CVE-2021-44515の影響はありません。
※Desktop Centralの脆弱性については、【既知の不具合】Desktop Centralの脆弱性(CVE-2021-44515)についてをご覧ください。
脆弱性の重要度
高
影響を受けるビルド
日本向けにリリースしているServiceDesk Plusオンプレミス版ビルド11211以下が対象です。
日本でリリースしているビルドについては、ServiceDesk Plusリリース情報をご覧ください。
ユーザーへの影響
攻撃者は認証プロセスを迂回して、テンプレートのフィールド&フォームルール/技術担当者の自動割り当て/資産フィールドの許容値/翻訳/変更のSLA設定/ユーザーに関連する資産/変更テンプレートからの役割の詳細にアクセス、および、サービスカタログを並べ替えることが可能になります。
脆弱性の影響を確認する方法
使用中のビルド番号がビルド11211以下であるかを確認します。
ビルドの確認方法は、ご利用中のビルド番号の確認方法についてをご覧ください。
対応方法
本脆弱性に対応したビルド11212にアップグレードしてください。
アップグレード手順については、日本語版最新ビルドへのアップグレードの流れについてをご覧ください。