【重要】RevoWorks Browser の複数の脆弱性
(CVE-2021-20790、CVE-2021-20791)に関する注意喚起
平素より RevoWorks Browser をご利用いただきありがとうございます。
弊社製品「RevoWorks Browser」において、複数の脆弱性が存在することが確認されました。
本脆弱性の対策として、カスタマーサポートサイト(
https://support.jscom.jp/login_top/revoworks/)にて、修正モジュールの提供を行っております。
ご利用のお客さまにはご迷惑をおかけいたしますが、ご適用いただきますようお願いいたします。
脆弱性の内容と影響を受ける製品バージョンの詳細は以下の通りです。
● RevoWorks Browser におけるプログラム実行の制御不備の脆弱性について(CVE-2021-20790) 脆弱性内容
RevoWorks Browser には任意のコマンドやコード実行の脆弱性が存在します。
この脆弱性を悪用された場合には、分離環境で実行されるWeb ブラウザから本来は許可されない任意のコマンドやコードが実行される可能性があります。
対象バージョン 製品名
脆弱性があるバージョン
CVSS v3 基準値
RevoWorks Browser
2.1.197〜2.1.230
※2.0.x は本脆弱性の影響を受けません
8.6
● RevoWorks Browser における不正なファイル交換およびウェブブラウザの設定改竄の脆弱性について
(CVE-2021-20791) 脆弱性内容
RevoWorks Browser には許可されないファイル交換およびウェブブラウザの設定が改竄される脆弱性が存在します。分離環境とローカル環境とのファイル交換は原則不可とし、必要な場合はポリシー設定により、ファイル無害化後のファイルダウンロード、ファイルアップロードを許可する仕組みとなっています。このポリシー制御に関わらず、利用者が任意のファイルを両環境間で交換できる可能性があります。また、利用者により RevoWorks Browser のウェブブラウザの設定が改竄される可能性があります。
対象バージョン 製品名
脆弱性があるバージョン
CVSS v3 基準値
RevoWorks Browser
2.1.197〜2.1.230
※2.0.x は本脆弱性の影響を受けません
5.2
以下のカスタマーサポートサイトにて、修正モジュールの提供を行っております。
【カスタマーサポートサイト】
https://support.jscom.jp/login_top/revoworks/
※ログインには、保守契約ユーザ向けのユーザIDとパスワードが必要です。