libxml2には、次の脆弱性が存在します。

• libxml2 の XML外部実体参照(XXE) 脆弱性
  CVE-2024-40896

WebOTX AS V9.3～V12.1 のLinux環境において、WebOTX Webサーバ 2.4ではlibxml2を利用しています。調査の結果、上記脆弱性の影響を受けることが判明しています。

• WebOTX Application Server Express V9.3～V12.1
• WebOTX Application Server Standard V9.3～V12.1
• WebOTX Application Server Enterprise V9.3～V9.6
• WebOTX Application Server Standard Extended Option V11.1、V11.2

(※)WebOTX Enterprise Service Bus V9.3、V10.1、V10.3、V11.1、WebOTX Portal V9.3、V10.1、V10.4、V11.1にバンドルされているWebOTX Application Server Expressを使用している場合にも該当します。

■CVE-2024-40896
● 脆弱性の影響
攻撃者によって、機密情報の漏洩、データの追加、変更あるいはサービス運用妨害（DoS）を引き起こされる可能性があります。

● 脆弱性に該当する条件
WebOTX Webサーバ 2.4のmod_xml2encまたはmod_proxy_htmlモジュールを有効としている場合に、本脆弱性の影響を受ける可能性があります。
WebOTX Webサーバの設定ファイルは、mod_xml2enc及びmod_proxy_htmlモジュールをデフォルトでは無効化しており、利用しません。

パッチの公開時期を現在検討中です。急ぎでパッチが必要な場合はご連絡ください。

(注意) パッチモジュールは製品保守契約を結んでいただいたお客様に限定して提供させていただいています。
まだ契約がお済みでないお客様は、保守契約締結の後、ダウンロードをお願いいたします。

回避方法はありません。

本脆弱性問題の詳細は、次のURLを参照してください。

• CVE-2024-40896
  https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2024-40896

2025/05/26 初版

1. 弊社製品に関する正確なセキュリティ情報をご提供するよう努力しておりますが、それぞれの情報におきまして内容を予告なく変更することがありますので、あらかじめご了承ください。
2. 本サイトに掲載した製品には他社の製品も含まれており、これらの製品の情報につきましては、他社から提供または公開された情報を基にしております。最新の情報につきましては製品開発元の情報を参照してください。
3. 本サイトは弊社製品のセキュリティ情報の提供を目的としております。掲載情報に従い対応を行った（あるいは行わなかった）結果につきまして、弊社では責任を負いかねますのでご了承ください。

セキュリティ問題に関する情報は変化しておりますので、 お客様には常に最新の情報をご確認いただけますようお願い申し上げます。