CVE-2023-22320

1. ホーム
2. セキュリティ
3. セキュリティアドバイザリー一覧
4. CVE-2023-22320

概要

OpenAM Web Policy Agent (OpenAMコンソーシアム版) には、URLのパース処理の不備に起因するパストラバーサルの脆弱性が存在します。

さらに、本脆弱性を悪用するようなURLに対し、アクセスポリシーの判定が正しく行われない場合があります。

想定される影響

第三者がドキュメントルート外のファイルにアクセスする可能性があります。

また、アクセスを許可されていない第三者が、保護されたリソースにアクセスする可能性があります。

対策

OpenAM コンソーシアムが提供する情報をもとに、修正パッチを適用してください。

回避策

WAF (Web Application Firewall) や IPS (Intrusion Prevention System) などにより、不審な通信を検知・遮断してください。

参考

• https://github.com/openam-jp/web-agents/issues/3
• https://www.cve.org/CVERecord?id=CVE-2023-22320
• https://jvn.jp/vu/JVNVU91740661/