概要
Tiandy Easy7 統合管理プラットフォーム バージョン 7.17.0 以前 に おいて、/Easy7/apps/WebService/ImportSystemConfiguration.jsp の File パラメータ 処理 に OS コマンドインジェクション の 脆弱性 (CWE-77, CWE-78) が 存在 します。攻撃者 は リモート から 認証 なし で 細工 した リクエスト を 送信 する こと で、サーバー 上 で 任意 の OS コマンド を 実行 できる 可能性 が あります。
CVSS スコア は 9.8 (Critical) と 評価 されて おり、攻撃 の 複雑さ が 低く 認証 も 不要 な ため、極めて 深刻 な 脆弱性 です。さらに 攻撃 コード が 公開 されて おり、早急 な 対応 が 必要 です。ベンダー に 連絡 が 行われて います が、現時点 で 応答 は ありません。
CVSS ベクトル
| 項目 | 値 |
|---|---|
| CVSS スコア | 9.8 (Critical) |
| 攻撃元 | ネットワーク |
| 攻撃条件 の 複雑さ | 低 |
| 必要 な 特権 | 不要 |
| ユーザー 関与 | 不要 |
| 機密性 への 影響 | 高 |
| 完全性 への 影響 | 高 |
| 可用性 への 影響 | 高 |
| CWE | CWE-77 (コマンドインジェクション), CWE-78 (OS コマンドインジェクション) |
影響 を 受ける ソフトウェア
| 製品名 | ベンダー | 影響 バージョン |
|---|---|---|
| Easy7 Integrated Management Platform | Tiandy | 〜 7.17.0 |
修正 バージョン と 回避策
ベンダー (Tiandy) に 脆弱性 の 報告 が 行われて います が、現時点 で ベンダー から の 応答 は ありません。修正 パッチ の 提供 時期 は 未定 です。
- 即時 対応: Tiandy Easy7 を 利用 して いる 場合、外部 ネットワーク から の アクセス を ファイアウォール 等 で 遮断 する
- 暫定 回避策: 該当 の JSP エンドポイント (
ImportSystemConfiguration.jsp) へ の アクセス を WAF や アクセス 制御 で 制限 する - 継続 監視: ベンダー から の 修正 情報 の 公開 を 定期的 に 確認 する
関連 リンク
データソース: NVD (NIST) AI解説 は Claude API に より 自動生成 されています。正確性 に ついては 原文 を ご確認 ください。