Skip to main content

 

 

 

 
Language:

 

 

 

 
 
OutSystems

脆弱性RPD-4310

概要

OutSystemsは脆弱性を認識しました。この脆弱性を悪用する攻撃者によってことで、OutSystemsプラットフォームで処理および保存されたデータの可用性や完全性が侵害されるおそれがあります。

この脆弱性が悪用されても、データの機密性が侵害されることはありません。

テクノロジースタック

この脆弱性は、すべてのサポート対象のプラットフォームのスタックに影響を及ぼします。

脆弱性リスク

基本値: 7.2(高)

ベクトル文字列: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:C/C:N/I:L/A:L

通知

プロセスに含まれる各段階、通知の方法とタイミングについて理解するには、こちらの記事をご覧ください。

  • 非公開段階: この脆弱性は、2019年12月12日にすべてのユーザーに初めて通知されました。
  • 情報開示: この脆弱性の詳細は、すべて2020年3月に開示されました。

脆弱性の詳細

この脆弱性は、Uploadウィジェットの中に存在します。この脆弱性を悪用することによって、認証されていない攻撃者が任意のファイルをプラットフォームにアップロードするおそれがあります。

場合によっては、こうした攻撃により、利用可能なデータベース領域が消費されてサービス妨害が行われたり、ファイルが非同期で処理されている場合に正当なデータが破損されたり、アップロードされた正当なファイルへのアクセスが拒否されたりするおそれがあります。

OutSystemsプラットフォームを保護する

OutSystemsは、この脆弱性に対応するPlatform Serverの新しいリリースを公開しました。

OutSystems Cloud

現在のバージョンに応じて、OutSystemsによってクラウドインフラがすべてバージョン10.0.1021.0またはRelease OCT.19 CP6に更新されます。

オンプレミス環境

Platform Serverをまだ更新していないすべてのユーザーは、更新することを強く推奨します。

OutSystems 10

この脆弱性は、バージョン10.0.1019.0以降のすべてのバージョンで修正されています。

OutSystems 11

この脆弱性は、Release OCT.19 CP4以降のすべてのバージョンで修正されています。

回避策

回避策はありません。上記のバージョンに更新することを強く推奨します。

よくある質問

質問 回答
この脆弱性を悪用することによって、攻撃者はデータにアクセスできますか? いいえ。この脆弱性を悪用することによって、攻撃者はデータの完全性や可用性を侵害できますが、機密性を侵害することはできません。
この脆弱性は実際に悪用されたことがありますか? OutSystemsは、この脆弱性が実際に悪用されたり、ユーザーがその影響を受けたりしたという証拠を把握していません。
必要な作業は何ですか? OutSystemsプラットフォームを上記の該当するバージョンに更新してください。Cloudユーザーの場合は、OutSystemsによってプラットフォームが更新されます。
OutSystemsは、この脆弱性に関する詳細を公開しますか? 公開できる詳細はすべてこの記事ですでに開示されています。
この件については誰に相談すればよいでしょうか? ご質問がある場合は、カスタマーサクセスマネージャーにお問い合わせください。カスタマーサクセスマネージャーがいない場合は、サポートチャネルからお問い合わせください。

この脆弱性は、Joshua Provoste氏により報告されました。

  • Was this article helpful?