logo

「Lomtec ActiveWeb Professional」にファイルをアップロードされる脆弱性

  • このエントリーをはてなブックマークに追加

 情報処理推進機構セキュリティセンター(IPA/ISEC)とJPCERTコーディネーションセンター(JPCERT/CC)は1月26日、Lomtecが提供するウェブコンテンツ管理サーバ「Lomtec ActiveWeb Professional」に第三者によって任意のファイルをアップロードされる脆弱性が確認されたと「Japan Vulnerability Notes(JVN)」で発表した。

 Lomtec ActiveWeb Professional 3.0には、遠隔の第三者がEasyEditモジュールの「getImagefile」セクションにアクセスすることで、実行可能なサーバサイドスクリプトをアップロードすることが可能な脆弱性が存在する。ウェブコンテンツ管理サーバの権限で任意のコマンドを実行される可能性がある。

 現在のところ、脆弱性に対する対策方法は公開されていない。JVNでは、対策が公開されるまでの間、「アクセスを制限する」「リバースHTTPプロキシの使用やウェブサーバ上でURLフィルタリングなどを行う」「ウェブコンテンツ管理サーバのアップロード権限を変更する」といった回避策を適用することで、脆弱性の影響を軽減することが可能としている。

-PR-企画特集