一般社団法人JPCERTコーディネーションセンターからの情報

■概要
SIG情報連携ポータルのSOC間連携APIには、特定の情報が閲覧制限を超えて取得できてしまう以下の脆弱性があります。
SOC間連携APIの利用権限を有効化している場合に対応が必要となる脆弱性です。

1. 情報提供操作時に非開示指定された情報提供先の組織情報が、APIの利用権限を有するユーザーによって閲覧可能となる（CVE-2023-38751）
2. システム設定により非開示指定された投稿者の属性情報が、APIの利用権限を有するユーザーによって閲覧可能となる（CVE-2023-38752）

なお、本脆弱性に関しては、一般社団法人JPCERTコーディネーションセンターが該当ソフトウェアのすべての利用団体に対して、2023年7月20日までに対策を適用または提供済みです。

■対象
SIG情報連携ポータル バージョン 4.4.0 から 4.7.7 まで

■回避方法
SOC間連携APIの利用権限を無効化する

■対処方法
修正パッチを適用する

■対策バージョン
SIG情報連携ポータル バージョン 4.7.8 以降

更新履歴

2023/08/07