ジップインフォブリッジ株式会社からの情報

(1) JVN#80527854
・概要
ファイルめがね Ver.3.0.0.0以降のバージョンにサーバサイドリクエストフォージェリの脆弱性が存在することが判明しました。
この脆弱性を悪用された場合、悪意ある第三者の攻撃により、バックエンドWeb APIに対し任意のリクエストが実行される危険性があります。

・影響を受けるシステム
製品名称　　　　　ファイルめがね
該当バージョン　　Ver.3.0.0.0以降のすべてのバージョン

・詳細情報
検索キーワードのサジェスト機能にサーバサイドリクエストフォージェリの脆弱性が存在するため、バックエンドWebAPIへの任意のリクエストが可能です。

・想定される影響
任意のバックエンドWebAPIを実行することで、サービスの再起動などが引き起こされる可能性があります。

・対策方法
ファイルめがねを最新版に更新してください。
最新版の入手方法については、製品購入時に指定されたサポート窓口にお問い合わせください。

・謝辞
この脆弱性情報は、下記の方から JPCERT/CC に報告いただきました。
　　GMOサイバーセキュリティ byイエラエ株式会社　安里 眞夢 氏

(2) JVN#65386391
・概要
ファイルめがね Ver.1.0.0.0以降のバージョンに認証不備の脆弱性が存在することが判明しました。
この脆弱性を悪用された場合、ユーザを詐称して本来参照できないファイル内容の参照が可能となります。

・影響を受けるシステム
製品名称　　　　　ファイルめがね
該当バージョン　　Ver.1.0.0.0以降のすべてのバージョン

・詳細情報
検索画面でのWindows認証で、Windows認証後はリクエストのみでログイン処理が完了してしまうため、任意のユーザ情報を設定してユーザを詐称することが可能です。

・想定される影響
ユーザ詐称により、本来参照できないファイル内容の参照が可能となります。

・対策方法
ファイルめがねを最新版に更新してください。
最新版の入手方法については、製品購入時に指定されたサポート窓口にお問い合わせください。

・謝辞
この脆弱性情報は、下記の方から JPCERT/CC に報告いただきました。
　　GMOサイバーセキュリティ byイエラエ株式会社　安里 眞夢 氏