公開日:2014/05/23 最終更新日:2014/05/23

JVNVU#96683802
Bizagi BPM Suite に複数の脆弱性

概要

Bizagi が提供する BPM Suite には、複数の脆弱性が存在します。

影響を受けるシステム

  • BPM Suite10.4 およびそれ以前

詳細情報

Bizagi が提供するBPM Suite には、クロスサイトスクリプティング (CWE-79, CVE-2014-2947) と SQL インジェクション (CWE-89, CVE-2014-2948) の脆弱性が存在します。

想定される影響

ユーザのウェブブラウザ上で、任意のスクリプトを実行される可能性があります。また、ログイン可能なユーザによって、データベースの情報を変更される可能性があります。

対策方法

アップデートし、パッチを適用する
開発者が提供する情報をもとに、最新版へバージョンアップし、適切なパッチの適用を行ってください。

2014年5月23日現在、クロスサイトスクリプティングの脆弱性は、バージョン 10.3 で修正されています。
また、SQL インジェクションの脆弱性に対しては、Hotfix (10.3 64 bit 版、10.4 64 bit 版) が提供されています。

参考情報

  1. CERT/CC Vulnerability Note VU#112412
    Bizagi BPM Suite contains multiple vulnerabilities

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE CVE-2014-2947
CVE-2014-2948
JVN iPedia