アーカイブ

「FileZen」におけるディレクトリトラバーサルの脆弱性について(JVN#12884935)

最終更新日:2020年12月10日

※最新情報は、JVN iPedia(JVN#58774946)をご覧ください。

概要

株式会社ソリトンシステムズが提供する「FileZen」は、ファイル受け渡し専用アプライアンスです。「FileZen」には、OS コマンドインジェクションの脆弱性が存在します。
当該製品の管理者アカウントを取得した遠隔の第三者によって、任意の OS コマンドを実行される可能性があります。

攻撃が行われた場合の影響が大きい問題であるため、できるだけ早急に、製品開発者が提供する情報をもとに、アップデートを実行してください。

本脆弱性の深刻度

本脆弱性の深刻度 □ 注意 □ 警告 □ 重要 ■ 緊急
本脆弱性のCVSS v3基本値 9.1
本脆弱性の深刻度 □ I(注意) □ II(警告) ■ III(危険)
本脆弱性のCVSS v2基本値 9.0

対象

次の製品が対象です。

  • FileZen V3.0.0 から V4.2.7 までのバージョン
  • FileZen V5.0.0 から V5.0.2 までのバージョン

対策

---2021/3/5 更新---

アップデートする

    開発者が提供する情報をもとに、ファームウェアを最新版にアップデートしてください。
    開発者は、本脆弱性を修正した次のファームウェアをリリースしています。

  • FileZen V4.2.8
  • FileZen V5.0.3

詳しくは、開発者が提供する下記サイトの情報をご確認ください。

  • 【重要】FileZen設定内容確認のお願い
    https://www.soliton.co.jp/support/2021/004334.html



  • ワークアラウンドを実施する

      次の回避策を適用することで、本脆弱性の影響を軽減できます。
      開発者は当該製品に対し、以下の対策を実施することを推奨しています。

    • 初期管理者アカウント「admin」を無効化する
    • システム管理者アカウントの ID および Password を変更する
    • システム管理者アカウントに対し、インターネットからのログオンができないよう設定する

    参考情報

    本件に関するお問い合わせ先

    IPA セキュリティセンター

    E-mail:

    ※個別製品の脆弱性情報の詳細につきましては、製品開発者にお問い合わせください。

    更新履歴

    2021年03月05日 対策を更新
    2021年02月16日 掲載