情報処理推進機構セキュリティセンター(IPA/ISEC)とJPCERTコーディネーションセンター(JPCERT/CC)は1月26日、Lomtecが提供するウェブコンテンツ管理サーバ「Lomtec ActiveWeb Professional」に第三者によって任意のファイルをアップロードされる脆弱性が確認されたと「Japan Vulnerability Notes(JVN)」で発表した。
Lomtec ActiveWeb Professional 3.0には、遠隔の第三者がEasyEditモジュールの「getImagefile」セクションにアクセスすることで、実行可能なサーバサイドスクリプトをアップロードすることが可能な脆弱性が存在する。ウェブコンテンツ管理サーバの権限で任意のコマンドを実行される可能性がある。
現在のところ、脆弱性に対する対策方法は公開されていない。JVNでは、対策が公開されるまでの間、「アクセスを制限する」「リバースHTTPプロキシの使用やウェブサーバ上でURLフィルタリングなどを行う」「ウェブコンテンツ管理サーバのアップロード権限を変更する」といった回避策を適用することで、脆弱性の影響を軽減することが可能としている。
CNET Japanの記事を毎朝メールでまとめ読み(無料)
CES2024で示した未来
ものづくりの革新と社会課題の解決
ニコンが描く「人と機械が共創する社会」
誰でも、かんたん3D空間作成
企業や自治体、教育機関で再び注目を集める
身近なメタバース活用を実現する
データ統合のススメ
OMO戦略や小売DXの実現へ
顧客満足度を高めるデータ活用5つの打ち手
ビジネスの推進には必須!
ZDNET×マイクロソフトが贈る特別企画
今、必要な戦略的セキュリティとガバナンス
写真で見る「Ai Pin」--手のひらに投影できるウェアラブルAIデバイス 
2024年、スマートウォッチはどう変わる?--AI機能強化、デザインも変化か 
注目集めた指輪型にEV、「主役」はスマホからAIへ--MWC Barcelona 2024振り返り、日本企業は存在感高められるか