JPCERT/CC(一般社団法人JPCERTコーディネーションセンター)とIPA(独立行政法人情報処理推進機構)は、発見された脆弱性の製品開発者と連絡が取れない5つのソフトにへの情報を公開しました。
皆さん、こんにちは。
業務改善を行うIT・業務コンサルタント、高橋です。
まず、連日の『新型コロナウイルス感染症』に対して東京都を中心に『自粛要請』が出ています。
若年層であっても死亡事例はあり、他者へ感染させてしまうという二面性がありますので、現時点においては素直に『自粛』されることをお勧めします。
さて、今日はJPCERT/CCとIPAから出ている『連絡不能案件』とされる5つのソフトの脆弱性情報です。
私本管理Plus GOOUT等に使用中止を呼び掛け
以下にご紹介するソフトは、脆弱性が存在するものの開発者と連絡が取れないために公表の調整が不可能とされており、脆弱性の対策状況も不明であることから利用者に使用中止の検討が呼び掛けられています。
・掲示板 積木(開発者 Mash room):脆弱性 OSコマンドインジェクション
・WL-Enq(開発者 WonderLink):脆弱性 OSコマンドインジェクション、クロスサイトスクリプティング
・Cute News(開発者 CutePHP.com):脆弱性 クロスサイトスクリプティング、任意のPHPコードが実行可能な脆弱性
・メールフォーム(開発者 携帯サイトnet):脆弱性 クロスサイトスクリプティング、任意のPHPコードが実行可能な脆弱性
・私本管理 Plus GOOUT(開発者 EKAKIN):脆弱性 OSコマンドインジェクション、ディレクトリトラバーサル、任意のファイルを操作される脆弱性
以上、ご注意ください。