重要情報 1. 脆弱性名称: - HM COURTS & TRIBUNALS SERVICE PROBATE BACK OFFICE 至 c1afe0cdb2b2766d9e24872c4e827f8b82a6cd31 MARKDOWN NOTIFICATIONSERVICE.JAVA 注入 2. 脆弱性ID: - VDB-276270 - CVE-2024-8367 - DTSPB-4180/2614 3. 影響を受けるコンポーネント: - Markdown Handler - NotificationService.java 4. 影響を受けるバージョン: - c1afe0cdb2b2766d9e24872c4e827f8b82a6cd31 5. 脆弱性説明: - CWE-74: 不明な入力に対する操作により、インジェクション脆弱性が発生。 - CWE-74: 製品は、アップストリーム・コンポーネントからの外部影響を受けた入力を使用して、コマンド、データ構造、またはレコードの一部または全体を構築しているが、ダウンストリーム・コンポーネントに送信された際に、構文解析または解釈の方法を変更する可能性がある特殊な要素を中和していない、または不適切に中和している。 6. CVSS Meta Temp スコア: - 3.4 7. 現在の脆弱性価格: - $0〜$5k 8. CTI Interest スコア: - 3.25 9. 脆弱性の影響: - 整合性 (Integrity) 10. 脆弱性の詳細: - HM Courts & Tribunals Service Probate Back Office(バージョン c1afe0cdb2b2766d9e24872c4e827f8b82a6cd31 まで)で脆弱性が発見されました。これは問題ありとして分類されています。影響を受けるのは、コンポーネント Markdown Handler のファイル の未知の機能です。不明な入力に対する操作がインジェクション脆弱性につながります。 11. CVE 概要: - HM Courts & Tribunals Service Probate Back Office(バージョン c1afe0cdb2b2766d9e24872c4e827f8b82a6cd31 まで)で脆弱性が発見されました。これは問題ありとして分類されています。影響を受けるのは、コンポーネント Markdown Handler のファイル の未知の機能です。この操作によりインジェクションが発生します。この製品では、ローリングリリースを用いた継続的デリバリーが行われています。そのため、影響を受けるバージョンおよび更新されたリリースのバージョン詳細は利用できません。パッチは として識別されています。この問題を修正するためにパッチを適用することを推奨します。 12. 脆弱性利用の難易度: - 容易 (Easy) 13. 技術的詳細: - 既知 (Known) 14. 脆弱性ID: - CVE-2024-8367 15. 脆弱性パッチ: - d90230d7cf575e5b0852d56660104c8bd2503c34 16. 脆弱性ソース: - tools.hmcts.net 17. 脆弱性取引プラットフォーム: - github.com 18. 脆弱性説明: - アドバイザリは tools.hmcts.net で公開されています。この脆弱性は CVE-2024-8367 として取引されています。利用可能性は容易とされています。技術的詳細は知られていますが、利用可能なエクスプロイトはありません。この脆弱性は MITRE ATT&CK プロジェクトによって T1055 に割り当てられています。 19. 脆弱性修正推奨事項: - パッチ を適用することで、この問題を解消できます。バグ修正は github.com でダウンロード可能です。 20. 脆弱性備考: - アドバイザリには以下の備考が含まれています: --- まとめ 本脆弱性は、HM Courts & Tribunals Service Probate Back Office に影響を与えるインジェクション脆弱性であり、Markdown Handler コンポーネントの ファイルに影響を及ぼします。脆弱性の CVSS Meta Temp スコアは 3.4、現在の脆弱性価格は $0〜$5k、CTI Interest スコアは 3.25 です。脆弱性の利用は容易で、技術的詳細は既知ですが、利用可能なエクスプロイトはありません。この問題を修正するには、パッチ の適用を推奨します。