JPCERTコーディネーションセンター(JPCERT/CC)は2017年7月14日、ハンモックが提供するIT統合管理ソフトウエア「AssetView for MacOS」のサーバー側モジュールである「ファイル転送Webサービス」に二つの脆弱性が存在するとJapan Vulnerability Notes(JVN)で発表した。これらの脆弱性は、リクルートテクノロジーズの西村宗晃氏が報告した。

 一つ目はディレクトリトラバーサルの脆弱性(CWE-22、CVE-2017-2240)。ファイル転送Webサービスのモジュールを導入しているサーバーが攻撃を受けることで、任意のファイルを取得される危険性がある。これによりAssetViewに関する設定情報が参照される可能性があるという。

 二つ目はSQLインジェクションの脆弱性(CWE-89、CVE-2017-2241)。これにより、同モジュールを導入しているサーバーで任意のSQLクエリを実行される危険性がある。これにより、AssetViewのシステムの破損やAssetViewの機能の悪用といった攻撃を受ける可能性があるとする。

 AssetView for MacOS Ver.9.2.0以前のバージョンを利用しているユーザーは、セキュリティ対策パッチ「AssetView ファイル転送WebサービスHotfix」をインストールする必要がある。

[JPCERT/CCのJVNVUでの発表]
[ハンモックによるセキュリティ情報]