情報 ID
最終更新日 :
2023年11月28日
RoboHelp Server に関するセキュリティホットフィックス公開 | APSB23-53
|
|
公開日 |
優先度 |
|---|---|---|
|
ASPB23-53 |
2023 年 11 月 14 日 |
3 |
要約
対象のバージョン
|
製品名 |
対象のバージョン |
プラットフォーム |
|
RoboHelp Server |
RHS 11.4 以前のバージョン |
Windows |
解決策
アドビは、これらのアップデートを次の優先度評価に分類しており、対象製品をご利用のお客様に最新バージョンへのアップグレードを推奨します。
|
製品名 |
バージョン |
プラットフォーム |
優先度評価 |
入手方法 |
|
RoboHelp Server |
RHS 11 アップデート 5(11.5) |
Windows |
3 |
脆弱性に関する詳細
|
脆弱性のカテゴリー |
脆弱性の影響 |
深刻度 |
CVSS 基本スコア |
CVE 番号 |
|
|---|---|---|---|---|---|
|
情報漏えい(CWE-200) |
メモリリーク |
クリティカル |
7.5 |
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N |
CVE-2023-22272 |
|
制限付きディレクトリへのパス名の制限(「パストラバーサル」)が正しくありません。(CWE-22) |
任意のコード実行 |
クリティカル |
7.2 |
CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H |
CVE-2023-22273 |
|
XML 外部エンティティ参照('XXE')の不適切な制限(CWE-611) |
メモリーリーク |
クリティカル |
8.2 |
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:L |
CVE-2023-22274 |
|
SQL コマンド(SQL Injection)で使用される特殊要素の不適切な無害化(CWE-89) |
メモリリーク |
クリティカル |
7.5 |
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N |
CVE-2023-22275 |
|
SQL コマンド(SQL Injection)で使用される特殊要素の不適切な無害化(CWE-89) |
メモリリーク |
重要 |
6.5 |
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N |
CVE-2023-22268 |
謝辞
この問題を報告し、ユーザーの保護にご協力いただいた以下の研究者の皆様に対し、アドビより厚く御礼を申し上げます。
- Trend Micro の Zero Day Initiative と匿名ユーザーによる協力(CVE-2023-22272、CVE-2023-22273、CVE-2023-22274、CVE-2023-22275、CVE-2023-22268)
注:アドビは、HackerOne と非公開で招待制のバグバウンティープログラムを実施しています。アドビの外部セキュリティリサーチャーとして働くことに興味がある方は、次のステップをお知らせしますので、このフォームにご記入ください。
詳しくは、https://helpx.adobe.com/jp/security.htmlを参照するか、PSIRT@adobe.com 宛てに電子メールでお問い合わせください。
