「楽々Document Plus」にディレクトリトラバーサルの脆弱性

IPAおよびJPCERT/CCは、住友電工情報システムが提供する「楽々Document Plus」にディレクトリトラバーサルの脆弱性が存在すると「JVN」で発表した。

脆弱性と脅威セキュリティホール・脆弱性

2023年12月7日（木） 08時00分

Windows カーネルドライバの IOCTL 処理にアクセス制御不備の脆弱性
TvRock にサービス運用妨害（DoS）と CSRF の脆弱性
NETGEAR 製ルータにバッファオーバーフローの脆弱性

　独立行政法人情報処理推進機構（IPA）および一般社団法人JPCERT コーディネーションセンター（JPCERT/CC）は12月4日、住友電工情報システム株式会社が提供する「楽々Document Plus」にディレクトリトラバーサルの脆弱性が存在すると「Japan Vulnerability Notes（JVN）」で発表した。

　「楽々Document Plus Ver.3.2.0.0 から Ver.6.4.0.7まで」には、ディレクトリトラバーサルの脆弱性（CVE-2023-49108）が存在する。CVSS v3による基本値は6.8。この脆弱性が悪用されると、当該製品の特定の権限を持つユーザによって、サーバ上の任意のファイルを取得または削除される可能性がある。

　なお、開発者によるとVer.6.1.1.3a は本脆弱性の影響を受けないとしている。

　開発者は影響を受けるバージョン向けに修正パッチを提供しており、JVNではパッチを適用するよう呼びかけている。また、開発者はワークアラウンドの適用も推奨している。この脆弱性を修正した「楽々Document Plus Ver.6.5.0.0」の提供は、2024年1月を予定している。

　この脆弱性情報は、GMOサイバーセキュリティ byイエラエ株式会社の安里眞夢氏がIPAに報告した。

《吉澤亨史（ Kouji Yoshizawa ）》

ソース・関連リンク

Ruckus Access Point に XSS の脆弱性2023.12.4 Mon 8:00
Apache Tomcat にリクエストスマグリングの脆弱性2023.12.1 Fri 8:00
LuxCal Web Calendar に複数の脆弱性2023.11.24 Fri 8:00
Redmine にXSSの脆弱性2023.11.21 Tue 8:00

Scan PREMIUM 会員限定記事

研修・セミナー・カンファレンス 2024.5.2(Thu) 8:10
ビッグ・ブラザー２０２４～監視カメラと画像分析その高成長市場と国際動向

　日本で監視カメラや CCTV と言えば、要監視施設等に設置してそれを録画して、何かあったら再生するという、インターネットもパソコン通信もなかった時代のスタンドアロン PC のような貧しい使い方しか想像力が及ばない。しかし中国や合衆国のような、治安維持のための人権制限を合法とする国では、街頭や交通機関、店舗、オフィスなど都市の至る所に設置した画像を XDR や SOC のように集積し、かなりドラスティックな解析を行う。
今日もどこかで情報漏えい第23回「2024年3月の情報漏えい」なめるなという決意ここまでやるという矜恃

　今回は毛色が違う。営業DXサービス「Sansan」を利用中の顧客に対し、不正にIDやパスワードを入手しログインしたとして、不正アクセス禁止法違反の疑いで会社員が逮捕された旨の報道があったと、その社員とは無関係の「Sansan」を提供するSansan株式会社が公表を行ったことだ。感覚的には「Gmail アカウントが乗っ取られスパムメール送信に利用された件について犯人が逮捕された」と Google が発表するようなものだろうか。
2024.4.25(Thu) 8:10
Linux の GSM ドライバにおける Use-After-Free の脆弱性（Scan Tech Report）

　2024 年 1 月に公開された、Linux カーネルの脆弱性を悪用するエクスプロイトコードが公開されています。攻撃者は当該脆弱性の悪用により、一般権限での侵入に成功した OS の管理者権限が奪取可能です。Linux カーネルのアップデートにより対策してください。
2024.4.24(Wed) 8:10
訃報：セキュリティの草分けロス・アンダーソン氏死去 67 歳、何回分かの生涯に匹敵する業績

　彼は英国王立協会のフェローでもあり、ニュートン、ダーウィン、ホーキング、チューリングが名を連ねる「知の殿堂」入りを果たしていた。

　ピアツーピアシステムとハードウェアの耐タンパー性における草分け的存在である彼は、チップや銀行の暗証番号カードなどの安全な設計に長年取り組み大きな影響を与えた。そして、ATM におけるセキュリティ上の欠陥を公表するというアンダーソンの取り組みにより、世界中で ATM の設計が変更されることとなった。
2024.4.23(Tue) 8:10

Scan PREMIUM 会員限定記事特集をもっと見る

ScanNetSecurityをフォローしよう！

@scannetsecurityをフォロー

シェア
ツイート
ブックマーク
後で読む

「楽々Document Plus」にディレクトリトラバーサルの脆弱性

ソース・関連リンク

関連記事

Scan PREMIUM 会員限定記事

ビッグ・ブラザー２０２４～監視カメラと画像分析その高成長市場と国際動向

今日もどこかで情報漏えい第23回「2024年3月の情報漏えい」なめるなという決意ここまでやるという矜恃

Linux の GSM ドライバにおける Use-After-Free の脆弱性（Scan Tech Report）

訃報：セキュリティの草分けロス・アンダーソン氏死去 67 歳、何回分かの生涯に匹敵する業績

カテゴリ別新着記事

ソース・関連リンク

関連記事

Scan PREMIUM 会員限定記事

ビッグ・ブラザー２０２４ ～ 監視カメラと画像分析 その高成長市場と国際動向

今日もどこかで情報漏えい 第23回「2024年3月の情報漏えい」なめるなという決意 ここまでやるという矜恃

Linux の GSM ドライバにおける Use-After-Free の脆弱性（Scan Tech Report）

訃報：セキュリティの草分けロス・アンダーソン氏 死去 67 歳、何回分かの生涯に匹敵する業績

カテゴリ別新着記事

脆弱性と脅威 記事一覧へ

JPRS、PowerDNS Recursor の DoS 攻撃が可能になる脆弱性に注意喚起

データスコープ社製の顔認証カメラに脆弱性

Windows カーネルドライバの IOCTL 処理にアクセス制御不備の脆弱性

TvRock にサービス運用妨害（DoS）と CSRF の脆弱性

NETGEAR 製ルータにバッファオーバーフローの脆弱性

RoamWiFi R10 に複数の脆弱性

インシデント・事故 記事一覧へ

ランサムウェア被害の原因はスターティア社の UTM テストアカウント削除忘れ

信和へのランサムウェア攻撃で窃取された情報、ロックビット摘発を受けてリークサイトが閉鎖

クラウド労務管理「WelcomeHR」の個人データ閲覧可能な状態に、契約終了後も個人情報保存

「味市春香なごみオンラインショップ」に不正アクセス、16,407件のカード情報が漏えい

クラウド型データ管理システム「ハイクワークス」のユーザー情報に第三者がアクセス可能な状態に

雨庵 金沢で利用している Expedia 社の宿泊予約情報管理システムに不正アクセス、フィッシングサイトへ誘導するメッセージ送信

調査・レポート・白書・ガイドライン 記事一覧へ

「シャドーアクセスとは？」CSAJ が定義と課題をまとめた日本語翻訳資料公開

2023年「業務外利用・不正持出」前年 2 倍以上増加 ～ デジタルアーツ調査

重い 高い 検索も使いにくいメールを企業の 6 割が使う理由

2024年第1四半期 IPA 情報セキュリティ安心相談窓口の相談状況、サポート詐欺被害時の漏えい可能性判断ポイントほか

2024年第1四半期「JVN iPedia」登録状況、最多アクセスは WordPress 用プラグイン WordPress Quiz Maker Plugin における不適切な入力確認の脆弱性

国内カード発行会社のドメイン毎の DMARC 設定率 36.2％「キャッシュレスセキュリティレポート（2023年10-12月版）」公表

研修・セミナー・カンファレンス 記事一覧へ

ビッグ・ブラザー２０２４ ～ 監視カメラと画像分析 その高成長市場と国際動向

SECON 2024 レポート：最先端のサイバーフィジカルシステムを体感

トレーニング 6 年ぶり復活 11/9 ～ 11/15「CODE BLUE 2024」開催

札幌で「CSIRT のはじめ方」ワークショップ 5/16 開催、北海道在勤在住者は参加費 5 万円が無料

スペシャリスト集結！ マネーフォワード・ラック・富士ソフト・電通総研から学ぶ、脆弱性診断内製化の成功法則とは？ AeyeScan 導入企業との公開対談

ガートナー クラウドクッキング教室 ～ CCoE 構築の重要性

製品・サービス・業界動向 記事一覧へ

「GMOサイバー攻撃 ネットde診断」Palo Alto、Cisco、SonicWall、OpenVPN に対応

KELA、生成 AI セキュリティソリューション「AiFort」提供開始

NDIAS「車載器向けセキュリティ技術要件集」活用したコンサルサービス提供

脆弱性診断自動化ツール「AeyeScan」を基盤に「診断マネジメントプラットフォーム」を提供

脆弱性診断自動化ツール「AeyeScan」アップデート、Apache httpd の脆弱性スキャンルール追加

研究開発の推進責務が撤廃ほか ～「NTT法」改正法律成立を受け NTT がコメント

おしらせ 記事一覧へ

創刊25周年記念キャンペーンのノベルティが届きました！（25周年記念キャンペーンは本日終了です）

人気連載 Scan PREMIUM Monthly Executive Summary の岩{丼}先生の著作にサインいただきました [Scan PREMIUM 創刊25周年記念キャンペーン 読者特典]

Scan PREMIUM 創刊25周年記念キャンペーン実施中

ScanNetSecurity 創刊25周年御礼の辞（上野宣）

小説内に登場するバーで直筆サインをいただきました ～ 創刊24周年キャンペーン 11/30 迄

「果たされた約束」アフタヌーンティー開催レポート ～ 創刊24周年キャンペーン実施のおしらせ

ビッグ・ブラザー２０２４～監視カメラと画像分析その高成長市場と国際動向

今日もどこかで情報漏えい第23回「2024年3月の情報漏えい」なめるなという決意ここまでやるという矜恃

訃報：セキュリティの草分けロス・アンダーソン氏死去 67 歳、何回分かの生涯に匹敵する業績

脆弱性と脅威記事一覧へ

インシデント・事故記事一覧へ

雨庵金沢で利用している Expedia 社の宿泊予約情報管理システムに不正アクセス、フィッシングサイトへ誘導するメッセージ送信

調査・レポート・白書・ガイドライン記事一覧へ

2023年「業務外利用・不正持出」前年 2 倍以上増加～デジタルアーツ調査

重い高い検索も使いにくいメールを企業の 6 割が使う理由

研修・セミナー・カンファレンス記事一覧へ

ビッグ・ブラザー２０２４～監視カメラと画像分析その高成長市場と国際動向

スペシャリスト集結！マネーフォワード・ラック・富士ソフト・電通総研から学ぶ、脆弱性診断内製化の成功法則とは？ AeyeScan 導入企業との公開対談

ガートナークラウドクッキング教室～ CCoE 構築の重要性

製品・サービス・業界動向記事一覧へ

「GMOサイバー攻撃ネットde診断」Palo Alto、Cisco、SonicWall、OpenVPN に対応

研究開発の推進責務が撤廃ほか～「NTT法」改正法律成立を受け NTT がコメント

おしらせ記事一覧へ

人気連載 Scan PREMIUM Monthly Executive Summary の岩{丼}先生の著作にサインいただきました [Scan PREMIUM 創刊25周年記念キャンペーン読者特典]

小説内に登場するバーで直筆サインをいただきました～創刊24周年キャンペーン 11/30 迄

「果たされた約束」アフタヌーンティー開催レポート～創刊24周年キャンペーン実施のおしらせ