ニュース

「HtmlUnit」に任意のコードが実行可能な脆弱性、IPAとJPCERT/CCが更新呼び掛け

 独立行政法人情報処理推進機構(IPA)セキュリティセンターと一般社団法人JPCERTコーディネーションセンター(JPCERT/CC)は、「HtmlUnit」に任意のコードが実行可能となる脆弱性が存在するとして、最新版へのアップデートを推奨している。

 HtmlUnitは、Javaアプリケーションにウェブブラウザー機能を提供するライブラリで、内部に組み込まれたMozilla Rhinoエンジンにより、JavaScriptコードの実行にも対応している。

 脆弱性「CVE-2020-5529」は、このRhinoエンジンの初期化に不適切な部分が存在することに起因するもので、共通脆弱性評価システムCVSS v3のスコアは5.6。

 対象となるJavaアプリケーションが、ウェブコンテンツを自動的に取得して実行したり、中間者攻撃(Man-In-The-Middle attack)などによって、改ざんされたhtmlに含まれる細工されたJavaScriptコードを介し、任意のJavaコードを実行させられる可能性があるという。

 また、HtmlUnitをAndroidアプリケーションに組み込んで使う場合にも、この脆弱性が悪用される可能性があるとのこと。