脆弱性(CVE-2022-35403)について
本ナレッジは、[Security advisory for CVE-2022-35403] Unauthenticated local file disclosure vulnerability in ServiceDesk Plusを基に記載しています。
脆弱性について
ServiceDesk Plusのインライン画像処理における未承認のローカルファイル公開の脆弱性が確認されました。
脆弱性の重要度
高(high)と評価しています。
影響を受けるビルド
日本向けにリリースしているビルド13005以下が対象です。
日本でリリースしているビルドについては、ServiceDesk Plusリリース情報をご覧ください。
ユーザーへの影響
特定のファイルのイメージURLを含むメールを、ServiceDesk Plusで設定されたメールアドレスにメール送信することにより、攻撃者がServiceDesk Plusがインストールされているサーバー上のローカルファイルをダウンロードすることが可能になります。特定のファイルがイメージURLで指定した場所に存在する場合に、技術担当者がチケットに応答する際、またはチケットに対する通知がトリガーされる際、チケットの会話に添付ファイルとして追加されます。
脆弱性の影響を確認する方法
使用中のビルド番号がビルド13005以下であるかを確認します。
ビルドの確認方法は、ご利用中のビルド番号の確認方法についてをご覧ください。
対処方法
本脆弱性に対応したビルド13008へアップグレードしてください。
アップグレード手順については、日本語版最新ビルドへのアップグレードの流れについてをご覧ください。