Embedded Web Server（.NET）- 中程度のセキュリティ脆弱性に関するお知らせ

概要

中程度のセキュリティ脆弱性が確認されました。この脆弱性により、アプリケーションが Web サーバーの「www」ディレクトリ外のファイルを提供するよう強制され、攻撃者が選択したサーバーにリクエストが送信される可能性があります。この脆弱性の悪用には、以下の条件が必要です：

• 攻撃者がアプリケーションにログインするための有効な資格情報を既に所持していること。
• 攻撃者がファイルシステムまたはネットワークインフラストラクチャの知識を持ち、ファイルやネットワークリソースを標的にするためのリクエストを適切に構成する方法を知っていること。
• アプリケーションが .NET Embedded Web Server でホストされていること。
• アプリケーションのプロセスが、リクエストされたファイルへのアクセス権を持つ ID で実行されていること。

解決方法

CData セキュリティチームはこの問題を高優先度として調査し、影響を受ける可能性のあるすべての製品の Windows/.NET エディションを更新しました。この問題の修正は、以下のビルドに適用されています：

• CData Arc（V22.0.8473）
• CData API Server（V22.0.8500）
• CData Sync（V22.0.8483）

上記の製品の以前のバージョンをお使いの場合は、最新リリースにアップグレードしてください。