IM-LogicDesigner において「信頼できないデータのデシリアライゼーションの脆弱性」が確認されました。

 
Avatar
FAQ Manager
最終更新:
初回公開:
intra-mart Accel Platform の IM-LogicDesigner において「信頼できないデータのデシリアライゼーションの脆弱性」が確認されました。

[対象]
下記二つの条件を満たしている環境で脆弱性の影響を受けます。
 1.intra-mart Accel Platform 2017 Spring から intra-mart Accel Platform 2025 Autumn をご利用の環境
   ※ 後述の[対策方法]に掲載しているパッチ適用済み環境は除く
 2.IM-LogicDesigner をセットアップされている環境

お客様にて intra-mart Accel Platform の環境を構築している場合だけでなく、下記サービスをご利用いただいている場合も上記条件に該当する場合は脆弱性の影響を受けます。
・Accel-Mart Plus

なお、以下の環境は既に弊社にて脆弱性への対策を実施済みです。
・Accel-Mart Quick
・DPS for Sales クラウド

以下の環境については2月27日のメンテナンスにて対応を実施済みです。
・intra-mart Accel Platform for LGWAN(IM-LGWAN)

ご利用環境のバージョンおよび IM-LogicDesigner のセットアップ実施有無はシステム管理者の「モジュール参照」機能で確認できます。

■ intra-mart Accel Platform システム管理者操作ガイド
  モジュール参照 

ご利用環境のバージョンはモジュール一覧のトップ階層のモジュールをご確認ください。
IM-LogicDesigner をセットアップしている場合には下記階層に IM-LogicDesigner が存在します。
- intra-mart Accel Platform
  - 標準機能
    - 基盤機能
      - IM-LogicDesigner


[脆弱性の概要]
LogicDesigner 管理者が利用する画面において、信頼できないリソースのデシリアライゼーションを行っていました。
本脆弱性を悪用された場合、細工したリクエストを送ることでリモートコードを実行できる可能性があります。
なお、本脆弱性を利用した具体的な攻撃手段および被害報告については現時点では確認されていません。

CWE-502(信頼できないデータのデシリアライゼーション)
CVSS:3.0/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H 7.2 (High)
JVN#80500630

[対策方法]

本脆弱性の影響を受けるすべてのバージョンに対してパッチを提供しています。
下記ドキュメントをご参照の上、パッチを適用してください。
■ intra-mart Accel Platform セットアップガイド
  10.2.1. モジュールのパッチ適用

提供しているパッチモジュールの一覧は以下の通りです。
・2025 Autumn: im_logic-8.0.27-PATCH_001 (累積パッチ)
・2025 Spring: im_logic-8.0.26-PATCH_002 (累積パッチ)
・2024 Autumn: im_logic-8.0.25-PATCH_003 (累積パッチ)
・2024 Spring: im_logic-8.0.24-PATCH_005 (累積パッチ)
・2023 Autumn: im_logic-8.0.23-PATCH_003 (累積パッチ)
・2023 Spring: im_logic-8.0.22-PATCH_004 (累積パッチ)
・2022 Winter: im_logic-8.0.21-PATCH_003 (累積パッチ)
・2022 Spring: im_logic-8.0.20-PATCH_001 (累積パッチ)
・2021 Winter: im_logic-8.0.19-PATCH_002 (累積パッチ)
・2021 Summer: im_logic-8.0.17-PATCH_001 (累積パッチ)
・2021 Spring: im_logic-8.0.16-PATCH_001 (累積パッチ)
・2020 Winter: im_logic-8.0.15-PATCH_002 (累積パッチ)
・2020 Summer: im_logic-8.0.14-PATCH_001 (累積パッチ)
・2020 Spring: im_logic-8.0.13-PATCH_002 (累積パッチ)
・2019 Winter: im_logic-8.0.12-PATCH_001 (累積パッチ)
・2019 Summer: im_logic-8.0.11-PATCH_002 (累積パッチ)
・2019 Spring: im_logic-8.0.10-PATCH_002 (累積パッチ)
・2018 Winter: im_logic-8.0.9-PATCH_001 (累積パッチ)
・2018 Summer: im_logic-8.0.8-PATCH_001 (累積パッチ)
・2018 Spring: im_logic-8.0.7-PATCH_002 (累積パッチ)
・2017 Winter: im_logic-8.0.6-PATCH_002 (累積パッチ)
・2017 Summer: im_logic-8.0.5-PATCH_003 (累積パッチ)
・2017 Spring: im_logic-8.0.4-PATCH_002 (累積パッチ)

なお、パッチには本脆弱性以外の修正も含まれていることがあります。
パッチ適用時に適用される累積の修正内容については「累積パッチ」のリンクよりご確認ください。
[関連情報]
https://issue.intra-mart.jp/issues/39942
https://jvn.jp/jp/JVN80500630/

[本脆弱性に関する問い合わせ先]
本脆弱性に関するお問い合わせは弊社サポートサイトにお問い合わせください。
サポートサイトのご利用方法については下記FAQをご参照ください。
  https://product.intra-mart.support/hc/ja/articles/115010721088

[更新履歴]
初版: 2026/02/27
第2版:2026/3/2 対象の intra-mart Accel Platform for LGWAN(IM-LGWAN)の対応状況について更新

FAQID:1440
この記事は役に立ちましたか?
6人中3人がこの記事が役に立ったと言っています
Powered by Zendesk