【概要】
株式会社ノースグリッドが提供する Proself は、オンラインストレージ構築パッケージです。

Proself には、認証バイパスおよびリモートコード実行の脆弱性が存在します。

2023年7月20日に、同社より本脆弱性情報が公開されましたが、本脆弱性について、確認できていない利用組織の方々が存在している可能性を考慮し、本緊急対策を公開しております。

本脆弱性を悪用する攻撃がすでに確認されており、今後被害が拡大する可能性があるため、製品開発者が提供する最新の情報をご確認の上、修正バージョンが公開されている場合は、早急にアップデートを実施してください。

【影響を受けるシステム】
・Proself の全てのバージョン

【対策】
1.脆弱性の解消 - 修正プログラムの適用
開発者が提供する情報をもとに、最新版へアップデートしてください。開発者は、本脆弱性を修正した次のバージョンをリリースしています。
その他の製品についても順次リリースに向けた準備を進めているとのことです。
なお、サポートが終了している製品では脆弱性を修正するバージョンのリリースは行われないとのことです。

・Proself Enterprise Edition Ver5.62
・Proself Standard Edition Ver5.62
詳しくは、開発者が提供する下記サイトの情報をご確認ください。

・[至急]Proselfのゼロディ脆弱性による攻撃発生について(更新)

・Proselfのゼロディ脆弱性への対応バージョンに関する補足

2.脆弱性の暫定的な回避策
開発者によると、アップデートを適用できない場合には、Proself インストールフォルダの以下ファイルを Proself とは関係のない場所に移動、または削除することで、本脆弱性の影響を軽減することが可能とのことです。

Proself インストールフォルダ/webapps/proself/WEB-INF/xml/process/external/admin 配下の以下2ファイル

・downloadhistory.xml
・setclustermyid.xml

出典：独立行政法人情報処理推進機構(IPA)