DSA-2022-003: Dell EMC AppSync Security Update for Multiple Vulnerabilities

概要: Dell EMC AppSync remediation is available for multiple security vulnerabilities that may be exploited by malicious users to compromise the affected system.

影響

詳細

影響を受ける製品と修復

変更履歴

法的免責事項

対象製品

フィードバックの提供

この記事は次に適用されます：この記事は次には適用されません：この記事は、特定の製品に関連付けられていません。すべての製品パージョンがこの記事に記載されているわけではありません。

他のリソースを確認する

影響

High

詳細

Proprietary Code CVEs	Description	CVSS Base Score	CVSS Vector String
CVE-2022-22551	Dell EMC AppSync versions 3.9 to 4.3 use GET request method with sensitive query strings. An Adjacent, unauthenticated attacker may potentially exploit this vulnerability, and hijack the victim session.	8.3	CVSS:3.1/AV:A/AC:L/PR:N/UI:N/S:U/C:L/I:H/A:H
CVE-2022-22552	Dell EMC AppSync versions 3.9 to 4.3 contain a clickjacking vulnerability in AppSync. A remote unauthenticated attacker may potentially exploit this vulnerability to trick the victim into executing state changing operations.	6.9	CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:C/C:N/I:L/A:H
CVE-2022-22553	Dell EMC AppSync versions 3.9 to 4.3 contain an Improper Restriction of Excessive Authentication Attempts Vulnerability that may be exploited from UI and CLI. An adjacent unauthenticated attacker may potentially exploit this vulnerability, leading to password brute-forcing. Account takeover is possible if weak passwords are used by users.	8.1	CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H

Third-party Component	CVEs	More information
RESTEasy 3.0.10.Final	CVE-2016-9606	https://nvd.nist.gov/vuln/detail/CVE-2016-9606
	CVE-2020-1695	https://nvd.nist.gov/vuln/detail/CVE-2020-1695
	CVE-2020-25724	https://nvd.nist.gov/vuln/detail/CVE-2020-25724
	CVE-2020-14326	https://nvd.nist.gov/vuln/detail/CVE-2020-14326
	CVE-2017-7561	https://nvd.nist.gov/vuln/detail/CVE-2017-7561
	CVE-2016-6346	https://nvd.nist.gov/vuln/detail/CVE-2016-6346
	CVE-2020-10688	https://nvd.nist.gov/vuln/detail/CVE-2020-10688
	CVE-2021-20293	https://nvd.nist.gov/vuln/detail/CVE-2021-20293
	CVE-2020-25633	https://nvd.nist.gov/vuln/detail/CVE-2020-25633
	CVE-2021-20289	https://nvd.nist.gov/vuln/detail/CVE-2021-20289
Simple-XML 2.4.1	CVE-2017-1000190	https://nvd.nist.gov/vuln/detail/CVE-2017-1000190

Proprietary Code CVEs	Description	CVSS Base Score	CVSS Vector String
CVE-2022-22551	Dell EMC AppSync versions 3.9 to 4.3 use GET request method with sensitive query strings. An Adjacent, unauthenticated attacker may potentially exploit this vulnerability, and hijack the victim session.	8.3	CVSS:3.1/AV:A/AC:L/PR:N/UI:N/S:U/C:L/I:H/A:H
CVE-2022-22552	Dell EMC AppSync versions 3.9 to 4.3 contain a clickjacking vulnerability in AppSync. A remote unauthenticated attacker may potentially exploit this vulnerability to trick the victim into executing state changing operations.	6.9	CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:C/C:N/I:L/A:H
CVE-2022-22553	Dell EMC AppSync versions 3.9 to 4.3 contain an Improper Restriction of Excessive Authentication Attempts Vulnerability that may be exploited from UI and CLI. An adjacent unauthenticated attacker may potentially exploit this vulnerability, leading to password brute-forcing. Account takeover is possible if weak passwords are used by users.	8.1	CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H

Third-party Component	CVEs	More information
RESTEasy 3.0.10.Final	CVE-2016-9606	https://nvd.nist.gov/vuln/detail/CVE-2016-9606
	CVE-2020-1695	https://nvd.nist.gov/vuln/detail/CVE-2020-1695
	CVE-2020-25724	https://nvd.nist.gov/vuln/detail/CVE-2020-25724
	CVE-2020-14326	https://nvd.nist.gov/vuln/detail/CVE-2020-14326
	CVE-2017-7561	https://nvd.nist.gov/vuln/detail/CVE-2017-7561
	CVE-2016-6346	https://nvd.nist.gov/vuln/detail/CVE-2016-6346
	CVE-2020-10688	https://nvd.nist.gov/vuln/detail/CVE-2020-10688
	CVE-2021-20293	https://nvd.nist.gov/vuln/detail/CVE-2021-20293
	CVE-2020-25633	https://nvd.nist.gov/vuln/detail/CVE-2020-25633
	CVE-2021-20289	https://nvd.nist.gov/vuln/detail/CVE-2021-20289
Simple-XML 2.4.1	CVE-2017-1000190	https://nvd.nist.gov/vuln/detail/CVE-2017-1000190

デル・テクノロジーズでは、すべてのお客様に対して、CVSSベーススコアに加えて、特定のセキュリティの脆弱性に付随する潜在的な重要度に影響する可能性のある現状スコアや環境スコアも考慮することをお勧めしています。

影響を受ける製品と修復

Product	Affected Versions	Updated Versions	Link to Update
Dell EMC AppSync	Versions before 4.4.0.0	4.4.0.0	https://dl.dell.com/downloads/DL107581

Product	Affected Versions	Updated Versions	Link to Update
Dell EMC AppSync	Versions before 4.4.0.0	4.4.0.0	https://dl.dell.com/downloads/DL107581

変更履歴

Revision	Date	Description
1.0	2022-01-19	Initial Release

法的免責事項

対象製品

AppSync, AppSync, Product Security Information

文書番号: 000195377

文書の種類: Dell Security Advisory

最終更新: 19 1月 2022

お使いのデバイスがサポートサービスの対象かどうかを確認してください。

DSA-2022-003: Dell EMC AppSync Security Update for Multiple Vulnerabilities

概要: Dell EMC AppSync remediation is available for multiple security vulnerabilities that may be exploited by malicious users to compromise the affected system.

影響

詳細

影響を受ける製品と修復

変更履歴

関連情報

法的免責事項

対象製品

影響

詳細

影響を受ける製品と修復

変更履歴

関連情報

法的免責事項

対象製品

文書のプロパティ

質問に対する他のDellユーザーからの回答を見つける

サポートサービス

文書のプロパティ

質問に対する他のDellユーザーからの回答を見つける

サポートサービス

DSA-2022-003: Dell EMC AppSync Security Update for Multiple Vulnerabilities

概要: Dell EMC AppSync remediation is available for multiple security vulnerabilities that may be exploited by malicious users to compromise the affected system.

詳細記事

影響

詳細

影響を受ける製品と修復

変更履歴

関連情報

法的免責事項

対象製品

影響

詳細

影響を受ける製品と修復

変更履歴

関連情報

法的免責事項

対象製品

文書のプロパティ

質問に対する他のDellユーザーからの回答を見つける

サポート サービス

文書のプロパティ

質問に対する他のDellユーザーからの回答を見つける

サポート サービス

サポートサービス

サポートサービス