プリザンターに複数の脆弱性

　独立行政法人情報処理推進機構（IPA）および一般社団法人JPCERT コーディネーションセンター（JPCERT/CC）は11月13日、プリザンターにおける複数の脆弱性について「Japan Vulnerability Notes（JVN）」で発表した。スズキ株式会社の佐藤信弥氏、株式会社ラックの大熊陽氏、株式会社ＦＦＲＩセキュリティの都築陽一氏が報告を行っている。影響を受けるシステムは以下の通り。

・CVE-2023-34439、CVE-2023-45210、CVE-2023-46688
プリザンター 1.3.47.0 およびそれ以前のバージョン

・CVE-2023-41890
プリザンター 1.3.46.1 およびそれ以前のバージョンで SAML 認証を使用している場合

※Community Edition および Enterprise Edition のいずれも本脆弱性の影響を受ける。

　株式会社インプリムが提供するプリザンターには、下記の影響を受ける可能性がある複数の脆弱性が存在する。

・格納型クロスサイトスクリプティング（CVE-2023-34439）
→当該製品のユーザのウェブブラウザ上で任意のスクリプトを実行される

・アクセス制限不備（CVE-2023-45210）
→当該製品のユーザによって、本来アクセスできない他のユーザがアップロードした一時ファイルを閲覧される

・オープンリダイレクト（CVE-2023-46688）
→特定の条件下において細工された URL にアクセスすることで、任意のウェブサイトにリダイレクトされる

・SAML による認証の回避（CVE-2023-41890）
→遠隔の第三者によって正規ユーザになりすまされ、当該製品を使用するシステムにログインされる

　JVNでは、インプリムが提供する情報をもとに、最新版にアップデートするよう呼びかけている。なお本脆弱性は、下記のバージョンで修正されている。

・CVE-2023-34439、CVE-2023-45210、CVE-2023-46688
プリザンター 1.3.48.0

・CVE-2023-41890
プリザンター 1.3.47.0