Skip to main content

 

 

 

 
Language:

 

 

 

 
 
OutSystems

脆弱性RPD-4260

概要

OutSystemsは脆弱性を認識しました。この脆弱性を悪用する攻撃者によって、OutSystemsプラットフォームで処理および保存されたデータの可用性や完全性が侵害されるおそれがあります。

テクノロジースタック

この脆弱性は、すべてのサポート対象のプラットフォームのスタックに影響を及ぼします。

脆弱性リスク

基本値: 7.6(高)

ベクトル文字列: CVSS:3.0/AV:N/AC:L/PR:H/UI:N/S:C/C:N/I:H/A:L

通知

プロセスに含まれる各段階、通知の方法とタイミングについて理解するには、こちらの記事をご覧ください。 * 非公開段階: この脆弱性は、2019年12月12日にすべてのユーザーに初めて通知されました。 * 情報開示: この脆弱性の詳細は、すべて2020年3月に開示されました。

脆弱性の詳細

この脆弱性は、開発者の権限を検証するためにOutSystemsプラットフォームが使用するメカニズムの中に存在します。この脆弱性を悪用することによって、「Reuse & Monitor(再利用および監視)」ロールを持つ開発者はService Studioの高度なクエリ機能を使用して、データベースのデータを破損または削除することができます。

OutSystemsプラットフォームを保護する

OutSystems Cloud

OutSystems Cloudの場合は、OutSystemsによってバージョン10のインフラがすべてリリース10.0.1020.0に、バージョン11のインフラがすべてRelease OCT.19 CP5に更新されました。

オンプレミス環境

OutSystemsは、この脆弱性に対応するPlatform Serverの新しいリリースを公開しました。 Platform Serverをまだ更新していないすべてのユーザーは、更新することを強く推奨します。

OutSystems 10

この脆弱性は、バージョン10.0.1016.0以降のすべてのバージョンで修正されています。

OutSystems 11

この脆弱性は、Release OCT.19 CP4で修正されています。

回避策

回避策はありません。上記のリリースに更新することを強く推奨します。

よくある質問

質問 回答
この脆弱性を悪用することによって、攻撃者はデータにアクセスできますか? いいえ。この脆弱性を悪用することによって、攻撃者はデータの完全性や可用性を侵害できますが、機密性を侵害することはできません。
この脆弱性は実際に悪用されたことがありますか? OutSystemsは、この脆弱性が実際に悪用されたり、ユーザーがその影響を受けたりしたという証拠を把握していません。
必要な作業は何ですか? OutSystems Platform Serverを上記の該当するバージョンに更新してください。
OutSystemsは、この脆弱性に関する詳細を公開しますか? 公開できる詳細はすべてこの記事ですでに開示されています。
この件については誰に相談すればよいでしょうか? ご質問がある場合は、カスタマーサクセスマネージャーにお問い合わせください。カスタマーサクセスマネージャーがいない場合は、サポートチャネルからお問い合わせください。
  • Was this article helpful?