脆弱性の影響を受ける製品/コンポーネント/ツール
| 該当する脆弱性 | 製品/コンポーネント/ツール | バージョン |
CVSS3.0
スコア |
深刻度 |
|---|---|---|---|---|
|
CVE-2024-46902/CVE-2024-46903
|
DDI |
5.7 ~ 6.5 6.6 ビルド: 2019 未満 6.7 ビルド: 2023 未満 |
4.9 – 6.5 | 中 |
脆弱性の概要
CVE-2024-46902: SQLインジェクションによる情報漏えいの脆弱性ZDI-CAN-24584
CVSSv3: 4.9: AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:N/A:N
SQLインジェクションによる情報漏えいの脆弱性により、攻撃者によって機微な情報を公開される可能性があります。
※攻撃者がこの脆弱性を悪用するには、まずDDIのシステム上で高い特権 (管理者権限) でコードを実行出来る状態である必要があります。
CVE-2024-46903: SQLインジェクションによる情報漏えいの脆弱性
ZDI-CAN-24585
CVSSv3: 6.5: AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N
SQLインジェクションによる情報漏えいの脆弱性により、攻撃者によって機微な情報を公開される可能性があります。
※攻撃者がこの脆弱性を悪用するには、まずDDIのシステム上で低い特権でコードを実行出来る状態である必要があります。
対処方法
| 製品/コンポーネント/ツール | バージョン | 修正 | Readme |
|---|---|---|---|
| DDI |
5.7 ~ 6.5 6.6 ビルド: 2019 未満 6.7 ビルド: 2023 未満 |
5.8 SP1 Critical Patch (ビルド: 2026) 5.8 SP2 Critical Patch (ビルド: 2022) 6.0 Critical Patch (ビルド: 2066) 6.2 Critical Patch (ビルド: 2039) 6.5 Critical Patch (ビルド: 2047) |
※DDI バージョン 5.7は、2024年9月30日をもってサポート終了済みのため、Critical Patch のリリースはございません。
軽減要素
この種の脆弱性を悪用するためには、一般的に攻撃者は物理的、もしくは遠隔で DDI のシステムにアクセスできる必要があります。信頼されたネットワークからのみアクセスを許可することで、本脆弱性が利用される可能性を軽減することができます。
この脆弱性の悪用には上記の条件を満たす必要がありますが、トレンドマイクロはできるだけ上記の Critical Patch を適用いただくことを推奨しています。
参照情報
- ZDI-CAN-24584
- ZDI-CAN-24585