Apex One 及び、Apex One SaaSにおいて次の脆弱性の存在が確認されました。

CVE-2022-41744: Vulnerability Protection 機能におけるTime-of-check Time-of-use (TOCTOU) 競合状態の脆弱性
CVSSv3: 7.8: AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
Apex One及びApex One SaaSの仮想パッチ機能において、Time-of-Check Time-Of-Use (TOCTOU) 競合状態の脆弱性が確認されました。この脆弱性により、権限の昇格し、特定のディレクトリをマウントポイントにすることができる可能性があります。この脆弱性の悪用には、対象のシステム上で低い権限でコードを実行できる必要があります。

CVE-2022-41745:  権限昇格につながる領域外メモリアクセスの脆弱性 
CVSSv3: 7.0: AV:L/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:H
Apex One及びApex One SaaSにおいて、領域外メモリアクセスの脆弱性が確認されました。この脆弱性により、特定のサービスのメモリが破壊され、権限の昇格を行うことができる可能性があります。この脆弱性の悪用には、対象のシステム上で低い権限でコードを実行できる必要があります。


CVE-2022-41746:  権限昇格につながる強制ブラウジングの脆弱性
CVSSv3: 9.1: AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H
Apex One及びApex One SaaSにおいて、強制ブラウジングの脆弱性が確認されました。この脆弱性により、権限の昇格し、エージェントのグルーピングを変更することができる可能性があります。この脆弱性の悪用には、Apex Oneの管理コンソールに任意の権限でログインを行うことができる必要があります。

CVE-2022-41747:  権限昇格につながる不正な証明書検証の脆弱性
CVSSv3: 7.8: AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
Apex One及びApex One SaaSにおいて、不正な証明書検証の脆弱性が確認されました。この脆弱性により、DLLファイルをロードさせてシステム権限で実行させることができる可能性があります。この脆弱性の悪用には、対象のシステム上で低い権限でコードを実行できる必要があります。

CVE-2022-41748:  情報漏えい対策オプションのモジュールにおける不適切なレジストリ許可の脆弱性
CVSSv3: 6.7: AV:L/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H
Apex One及びApex One SaaSの情報漏えい対策オプションのモジュールにおいて不適切なレジストリ許可の脆弱性が確認されました。この脆弱性により、製品の改ざん対策機能を回避することができる可能性があります。この脆弱性の悪用には、対象のシステム上の管理資格情報を取得することができる必要があります。

CVE-2022-41749: 権限昇格につながる同一生成元ポリシー違反の脆弱性
CVSSv3: 7.8: AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
Apex One及びApex One SaaSにおいて、同一生成元ポリシー違反の脆弱性が確認されました。この脆弱性により、権限の昇格を行うことができる可能性があります。この脆弱性の悪用には、対象のシステム上で低い権限でコードを実行できる必要があります。

対処方法

製品/コンポーネント/ツール	バージョン	修正	Readme
Apex One	SP1	CP 11110	Readme
Apex One SaaS	-	9月メンテナンス (セキュリティエージェント build 14.0.11734)	Readme

「修正」に記載されている内容は、掲載された脆弱性の対応に必要となる公表時点でのバージョン、ビルド番号です。より新しいバージョン、ビルドが公開されている場合は、最新のものを適用してください。
弊社では、広く最新の脅威に対応するために、常に最新のバージョンの製品をご利用いただくことを推奨しています。古いバージョンをお使いのお客様は新しいバージョンへのアップグレードをご検討ください。