重要脆弱性情報のまとめ 1. CVE-2023-28158: 保存型XSSによる権限昇格 説明: ファイルアップロードサービスを通じて悪意のあるコンテンツをアップロードし、保存型XSSを利用して権限昇格を行使する。 影響バージョン: N/A(具体的なバージョンはリストされていない) 緩和策: 認証済みユーザーによってのみトリガーされるものであり、具体的な緩和策はリストされていない。 2. CVE-2022-29405: Apache Archivaにおける任意のユーザーパスワードリセット脆弱性 説明: 任意のユーザーパスワードリセットの脆弱性。 影響バージョン: N/A(具体的なバージョンはリストされていない) 緩和策: 具体的な緩和策はリストされていない。 3. CVE-2021-45105: Apache Log4j2は、ルックアップ評価における無限再帰を必ずしも保護しない 説明: 特定の構成下では、Log4j2がルックアップ評価における無限再帰を防げない可能性がある。 影響バージョン: 標準のArchiva log4j2.xml設定を使用しているバージョン 緩和策: log4j2.xml設定を更新する。 4. CVE-2021-45046: Apache Log4j2のスレッドコンテキストルックアップパターンは、特定の非標準構成においてリモートコード実行の脆弱性がある 説明: 特定の非標準構成下では、Log4j2のスレッドコンテキストルックアップパターンがリモートコード実行攻撃を受けやすい。 影響バージョン: 標準のArchiva log4j2.xml設定を使用しているバージョン 緩和策: log4j2.xml設定を更新する。 5. CVE-2021-44228: Apache Log4j2はリモートコード実行の脆弱性がある 説明: Log4j2ライブラリにリモートコード実行の脆弱性がある。 影響バージョン: Log4j2ライブラリを使用しているすべてのバージョン 緩和策: Log4j2ライブラリを最新バージョンに更新し、攻撃の試行を防止する。 6. CVE-2020-9495: Apache ArchivaのログインサービスはLDAPインジェクションの脆弱性がある 説明: ログインサービスがLDAPインジェクション攻撃を受けやすい。 影響バージョン: 2.2.5以前のすべてのバージョン 緩和策: Archiva 2.2.5以降にアップグレードする。 7. CVE-2019-0213: Apache Archivaの保存型XSSが中央UI設定に現れる可能性がある 説明: 保存型XSSが中央UI設定に現れる可能性がある。 影響バージョン: 2.2.4以前のすべてのバージョン 緩和策: Archiva 2.2.4以降にアップグレードし、通信のセキュリティを確保するとともに、管理者権限を制限する。 8. CVE-2019-0214: Apache Archivaにおけるサーバー上での任意のファイル書き込みおよび削除 説明: 任意のファイル書き込みおよび削除の脆弱性。 影響バージョン: 2.2.4以前のすべてのバージョン 緩和策: Archiva 2.2.4以降へのアップグレードを強く推奨し、悪意のあるパラメータを防ぐための検証を実装し、アップロードユーザーおよび実行ユーザーの権限を制限する。 9. CVE-2017-5657: 各種RESTエンドポイントにおけるApache ArchivaのCSRF脆弱性 説明: 複数のRESTエンドポイントにCSRF脆弱性が存在する。 影響バージョン: 2.2.3以前のすべてのバージョン 緩和策: Archiva 2.2.3以降にアップグレードし、REST要求の送信元を検証する。 10. CVE-2013-2251: Apache Archivaのリモートコマンド実行 説明: リモートコマンド実行の脆弱性。 影響バージョン: Archiva 1.3から1.3.6、およびサポート終了の1.2から1.2.2バージョン 緩和策: Archiva 2.0.1または1.3.8にアップグレードする。これらはこの脆弱性の影響を受けない。