脆弱性(CVE-2023-29443)について
作成日:2023年5月10日 | 更新日:2023年5月11日
本ナレッジは「XXE vulnerability in the Reports integration」をもとに作成しています。
詳細
SDAdminの役割を持つ攻撃者が、API連携によるレポート機能を使用して、不正なXMLを含むレスポンスを返すように構成することで、XML外部エンティティ攻撃(XXE攻撃)を引き起こすことができる脆弱性が確認されました。
影響を受けるビルド
日本国内向けにリリースしているビルドのうち、ビルド「14104」以下すべてが影響を受けます。
日本でリリースしているビルドについては、「ServiceDesk Plusリリース情報」をご覧ください。
ビルド番号の確認方法について、詳細は「ご利用中のビルド番号の確認方法について」をご覧ください。
ユーザーへの影響
SDAdminの役割を持つ攻撃者が、XXE攻撃を実行し、システムファイルにアクセスできる場合があります。
対処方法
本脆弱性を修正した日本国内向けのビルド「14201」へのアップグレードをお願いいたします。
アップグレード手順については、詳細は「日本語版最新ビルドへのアップグレードの流れについて」をご覧ください。
アップグレードではなくパッチを適用することで、本脆弱性を回避できる場合がございます。
対応可否につきましては弊社にて確認させていただきますので、「技術サポート」までお問い合わせください。
対応可否につきましては弊社にて確認させていただきますので、「技術サポート」までお問い合わせください。