概要
Newforma Project Center Server(NPCS)において、認証の欠如(Missing Authentication)と信頼できないデータのデシリアライゼーション(Deserialization of Untrusted Data)に起因するリモートコード実行の脆弱性が発見されました。攻撃者は TCP ポート 9003 上の /ProjectCenter.rem エンドポイントに対して .NET デシリアライゼーション攻撃を実行することで、認証なしに NT AUTHORITY\NetworkService 権限でのリモートコード実行が可能です。推奨アーキテクチャでは内部ネットワークに限定されていますが、外部に公開されている場合は深刻なリスクとなります。
.NET デシリアライゼーション攻撃は、リモートコード実行に直結する危険な攻撃手法として広く知られています。本脆弱性では認証が一切不要であり、エンドポイントに到達できれば即座に悪用が可能です。ネットワークセグメンテーションによる対策が最も有効であり、NPCS が外部ネットワークからアクセス可能な状態になっていないか確認することを推奨します。
CVSS ベクトル
| 項目 | 値 |
|---|---|
| CVSSスコア | 9.8 (Critical) |
| 攻撃元区分 | ネットワーク |
| 攻撃条件の複雑さ | 低 |
| 必要な特権レベル | なし |
| ユーザ関与 | なし |
| CWE | CWE-306 (認証の欠如), CWE-502 (信頼できないデータのデシリアライゼーション) |
影響を受けるソフトウェア
| 製品 | ベンダー | 影響バージョン |
|---|---|---|
| Newforma Project Center Server (NPCS) | Newforma | ベンダー情報を参照 |
修正バージョンと回避策
- 修正: ベンダーからの修正パッチ提供状況を確認してください
- 回避策: NPCS へのネットワークアクセスを内部ネットワークに制限し、TCP 9003 ポートへの外部アクセスをファイアウォールで遮断してください
関連リンク
データソース: NVD (NIST), GitHub Advisory Database AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。