Apache Tomcat の脆弱性(CVE-2022-45143等)について

製品ブランド:

SVF

invoiceAgent(オンプレ版)/SPA

Dr.Sum

MotionBoard

公開日時:

2023/01/17 09:00

更新日時:

2023/01/17 09:00

記事番号:

000023452

対象製品

  • SVF
  • invoiceAgent(旧SPA)
  • Dr.Sum
  • MotionBoard

 

内容

Apache Software Foundation が提供するApache Tomcat において、次の脆弱性が発見されました。

 ・Apache TomcatのJsonErrorReportValveクラスでは、タイプ、メッセージあるいは説明の値をエスケープしません(CVE-2022-45143)。
  (JsonErrorReportValveの出力のタイプ、メッセージあるいは説明の値はユーザが提供するデータから構築される場合があり、JSON出力を無効化されたり操作されたりする可能性があります。)
 

【脆弱性対象となるTomcatのバージョン】

  • Apache Tomcat 10.1.0-M1から10.1.1までのバージョン
  • Apache Tomcat 9.0.40から9.0.68までのバージョン
  • Apache Tomcat 8.5.83


参考(外部サイト):
 ・ JVNVU

  JVNVU#92183876 Apache TomcatのJsonErrorReportValveにおけるエスケープ処理不備の問題

 

SVF製品

SVF関連製品において、本脆弱性の影響がないことを確認しました。
 

invoiceAgent(旧:SPA)製品

invoiceAgent 関連製品において、本脆弱性の影響がないことを確認しました。
 

Dr.Sum製品

Dr.Sum 関連製品において、本脆弱性の影響がないことを確認しました。
 

MotionBoard製品

MotionBoard 関連製品において、本脆弱性の影響がないことを確認しました。
 

 

更新履歴

更新日 概要
2023/01/17 公開

 

備考

「OSS・セキュリティに関するお知らせ」に情報を公開する基準は、以下のFAQをご参照ください。

サポートサイト「OSS・セキュリティに関するお知らせ」の公開基準について