CVE-2024-10126 & CVE-2024-10127: M-Files Addresses File Inclusion and Authentication Bypass Flaws
2024/11/21 SecurityOnline — M-Files に存在する、脆弱性 CVE-2024-10126/CVE-2024-10127 により、機密ファイルの読取および、特定の条件下での認証バイパスの可能性が生じている。この情報管理ソリューションの大手プロバイダーは、セキュリティ・アップデートをリリースし、この2つの脆弱性に対処している。
脆弱性 CVE-2024-10126 (CVSSv4:5.3) は、ローカル・ファイル・インクルードの欠陥であり、認証されたユーザーに対して、サーバ上のファイルへのアクセスを許すものである。この脆弱性は、M-Files Server のバージョン 24.11 未満 (24.8 SR1/24.2 SR3/23.8 SR7 を除く) に存在する。アドバイザリに記載されているように、この脆弱性の悪用に成功した攻撃者は、ドキュメント・プレビューを介して、サーバ・ローカル・ファイルの中の、限られたファイル・タイプを読み取ることが可能になる。
脆弱性 CVE-2024-10127 (CVSSv4:9.2) は、M-Files Server のバージョン 24.11 未満に存在する認証バイパスの欠陥であり、LDAP 認証がコンフィグされている場合に発生する。LDAP サーバが匿名バインディングを許可するように誤ってコンフィグされている場合に、この脆弱性の悪用に成功した攻撃者は、パスワードを必要としないサーバ・アクセスの可能性を手にする。このアドバイザリでは、「LDAP サーバのデフォルトでは、匿名バインディングは有効化されていない」と明示されている。
すべてのユーザーに対して M-Files が強く推奨するのは、サーバ・ソフトウェアをバージョン 24.11 以降へと更新し、これらの脆弱性の影響を軽減することだ。同社は、「M-Files サーバをパッチ適用バージョンへと更新することで、この問題は修正できる」と強調している。
この M-File ですが、北米の情報管理企業とのことです。深刻度の高い脆弱性もあるので、ご利用のチームは、ご注意ください。同社の Web サイトでは、「ドキュメントの作成と管理から、ワークフローの自動化/外部コラボレーション/エンタープライズ検索/セキュリティ/コンプライアンス/監査証跡に至るまでのプロセスを自動化し、ナレッジワーカーを支援する」と紹介されていました。
IoT OT Security News 
You must be logged in to post a comment.