情報処理推進機構セキュリティセンター(IPA/ISEC)とJPCERTコーディネーションセンター(JPCERT/CC)は1月26日、Lomtecが提供するウェブコンテンツ管理サーバ「Lomtec ActiveWeb Professional」に第三者によって任意のファイルをアップロードされる脆弱性が確認されたと「Japan Vulnerability Notes(JVN)」で発表した。
Lomtec ActiveWeb Professional 3.0には、遠隔の第三者がEasyEditモジュールの「getImagefile」セクションにアクセスすることで、実行可能なサーバサイドスクリプトをアップロードすることが可能な脆弱性が存在する。ウェブコンテンツ管理サーバの権限で任意のコマンドを実行される可能性がある。
現在のところ、脆弱性に対する対策方法は公開されていない。JVNでは、対策が公開されるまでの間、「アクセスを制限する」「リバースHTTPプロキシの使用やウェブサーバ上でURLフィルタリングなどを行う」「ウェブコンテンツ管理サーバのアップロード権限を変更する」といった回避策を適用することで、脆弱性の影響を軽減することが可能としている。
CNET Japanの記事を毎朝メールでまとめ読み(無料)
ものづくりの革新と社会課題の解決
ニコンが描く「人と機械が共創する社会」
ZDNET×マイクロソフトが贈る特別企画
今、必要な戦略的セキュリティとガバナンス
「程よく明るい」照明がオフィスにもたらす
業務生産性の向上への意外な効果