JVNVU#98988538
VISAM製VBASE Editorにおける複数の脆弱性

VISAM社が提供するVBASE Editorには、複数の脆弱性が存在します。

• VBASE Pro-RT/ Server-RT (Web Remote) Version 11.6.0.6

VISAM社が提供するVBASE Editorには、次の複数の脆弱性が存在します。

• 不適切なアクセス制御 (CWE-284) - CVE-2021-38417

  CVSS v3

  CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:N/A:N

  基本値: 7.4

• クロスサイトスクリプティング (CWE-79) - CVE-2021-42535

  CVSS v3

  CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:U/C:H/I:N/A:N

  基本値: 5.3

• XML外部エンティティ参照の不適切な制限 (CWE-611) - CVE-2021-42537

  CVSS v3

  CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:U/C:H/I:L/A:N

  基本値: 5.9

• 既知の脆弱性が存在するコンポーネントの使用 (CWE-1035) - CVE-2021-34803、CVE-2020-13699、CVE-2019-18988、CVE-2018-16550、CVE-2018-14333、CVE-2005-2475

  CVSS v3

  CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:L

  基本値: 5.3

  VBASE Editorでは既知の脆弱性を含む旧バージョンのTeamViewerとTeamViewer Desktop、Unzipが使用されています。

想定される影響は各脆弱性により異なりますが、次のような影響を受ける可能性があります。

• 遠隔の第三者によって、ディレクトリリスト内のフォルダやファイルを閲覧できる - CVE-2021-95907
• Webページにアクセスしたウェブブラウザ上で、任意のスクリプトを実行される - CVE-2021-42535
• 遠隔の第三者によって、システム外の不正なドキュメントを出力内容に埋め込められる - CVE-2021-42537
• 既知の脆弱性を悪用し、当該製品を攻撃される - CVE-2021-34803、CVE-2020-13699、CVE-2019-18988、CVE-2018-16550、CVE-2018-14333、CVE-2005-2475

アップデートする
開発者が提供する情報をもとに、最新版にアップデートしてください。
開発者は、本脆弱性を修正した次のバージョンをリリースしています。

•  VBASE v11.7.0.2