対象製品
- SVF
- invoiceAgent(旧SPA)
- Dr.Sum
- MotionBoard
内容
Apache Software Foundation が提供するApache Tomcat において、次の脆弱性が発見されました。
・Apache TomcatのJsonErrorReportValveクラスでは、タイプ、メッセージあるいは説明の値をエスケープしません(CVE-2022-45143)。
(JsonErrorReportValveの出力のタイプ、メッセージあるいは説明の値はユーザが提供するデータから構築される場合があり、JSON出力を無効化されたり操作されたりする可能性があります。)
【脆弱性対象となるTomcatのバージョン】
- Apache Tomcat 10.1.0-M1から10.1.1までのバージョン
- Apache Tomcat 9.0.40から9.0.68までのバージョン
- Apache Tomcat 8.5.83
参考(外部サイト):
・ JVNVU
JVNVU#92183876 Apache TomcatのJsonErrorReportValveにおけるエスケープ処理不備の問題
SVF製品
SVF関連製品において、本脆弱性の影響がないことを確認しました。
invoiceAgent(旧:SPA)製品
invoiceAgent 関連製品において、本脆弱性の影響がないことを確認しました。
Dr.Sum製品
Dr.Sum 関連製品において、本脆弱性の影響がないことを確認しました。
MotionBoard製品
MotionBoard 関連製品において、本脆弱性の影響がないことを確認しました。
更新履歴
| 更新日 | 概要 |
| 2023/01/17 | 公開 |
備考
「OSS・セキュリティに関するお知らせ」に情報を公開する基準は、以下のFAQをご参照ください。