dom4j の脆弱性について(CVE-2018-1000632)

製品ブランド:

SVF

Dr.Sum

MotionBoard

invoiceAgent(オンプレ版)/SPA

公開日時:

2018/12/04 16:30

更新日時:

2018/12/04 16:30

記事番号:

000016055

対象製品

製品ブランド 対象製品 バージョン
SVF SVF for Excel   9.0、9.1、9.2 
RDE EXCEL Option   9.0、9.1、9.2 

内容(詳細内容)

dom4j project から、dom4j の脆弱性情報が公開されました。
ブラインド XPath インジェクションの脆弱性があり、悪用されると情報を改ざんされる可能性があります。

脆弱性の影響を受けるバージョンは以下のとおりです。
 - dom4j 2.1.1 未満


参考(外部サイト):
 JVN 脆弱性対策情報データベース
  dom4j におけるブラインド XPath インジェクションの脆弱性

 

SVF製品の影響について
EXCEL機種で参照するPOIライブラリーにおいて、dom4j を間接的に使用しています。
このため、不特定多数のユーザーがXLSX形式にてEXCEL出力するシステムの場合、悪意のあるユーザーに不正なコードを埋め込まれる可能性があります。
該当するシステムの場合には、XLSX形式ではなくXLS形式で出力してください。

SPA製品の影響について
SPA 関連製品においては、調査の結果、本脆弱性の影響を受けないことを確認いたしました。

MotionBoard製品の影響について
MotionBoard関連製品においては、調査の結果、本脆弱性の影響を受けないことを確認いたしました。

Dr.Sum製品の影響について
Dr.Sum関連製品においては、調査の結果、本脆弱性の影響を受けないことを確認いたしました。

お問い合わせ先

各種お問い合わせ]-[製品に関するお問い合わせ]から、お問い合わせください。

入力フォーム「件名」に「dom4j の脆弱性について(CVE-2018-1000632)」と入力してください。

 

備考

「OSS・セキュリティに関するお知らせ」に情報を公開する基準は、以下のFAQをご参照ください。

サポートサイト「OSS・セキュリティに関するお知らせ」の公開基準について