VU#317469:パートナーソフトウェア/パートナーWebはレポートファイルおよびノートコンテンツをサニタイズしないため、XSSおよびRCEが可能
Partner Software および Partner Web は、レポートおよびメモ ファイルの不適切なサニタイズにより、クロスサイト スクリプティング (XSS) 攻撃を受けやすくなっています。これらのアプリケーションは、産業界、地方自治体、州政府、および民間の請負業者によって使用されており、権限のあるユーザーがファイルをアップロードできます。ファイルアップロード機能はファイルの種類を制限しないため、攻撃者は被害者のデバイスで悪意のあるコードを実行できます。さらに、Partner Web はデフォルトの管理者資格情報で出荷されており、重大なセキュリティリスクを生み出しています。これらの脆弱性は、CVE-2025-6076、CVE-2025-6077、および CVE-2025-6078 として特定されており、任意のコード実行やデバイスの侵害につながる可能性があります。これらの脆弱性の影響により、攻撃者は管理者アクセス権を取得したり、XSS 攻撃を実行したりすることができます。Partner Software は、これらのセキュリティ上の欠陥に対処するために、バージョン 4.32.2 でパッチをリリースしました。このパッチは、Admin および Edit ユーザーロールを削除し、Notes セクションの入力をサニタイズし、ファイル添付を特定の形式に制限します。影響を受ける Partner Web のバージョンは 4.32 以前です。パッチ情報は Partner Software のウェブサイトで確認できます。