ニュース
開発者と連絡不能な脆弱性情報をJPCERT/CCらが公表、「私本管理 Plus GOOUT」など5つの製品が対象に
使用中止の検討を呼び掛け
2020年3月26日 18:45
一般社団法人JPCERTコーディネーションセンター(JPCERT/CC)および独立行政法人情報処理推進機構(IPA)は、発見された脆弱性の製品開発者と連絡が取れない「連絡不能案件」として5つのソフトに関する脆弱性情報を公開した。
脆弱性の存在が認められるも、製品開発者と脆弱性情報の公表にかかわる調整が不可能であり、脆弱性情報を知り得ない製品利用者がいる恐れがあるとして公表したもの。製品開発者と連絡が取れないことから脆弱性の対策状況が不明のため、製品利用者に対して使用中止を検討するよう呼び掛けている。
対象製品の脆弱性情報は以下の通り。
製品名およびバージョン:掲示板 積木 v1.15
製品開発者: Mash room - Free CGI -
脆弱性:OSコマンドインジェクション(CVE-2020-5561、共通脆弱性評価システムCVSS v3のスコアは7.3)
製品名およびバージョン:WL-Enq v1.11
製品開発者:WonderLink
脆弱性:OSコマンドインジェクション(CVE-2020-5560、同8.8)、クロスサイトスクリプティング(CVE-2020-5559、同6.1)
製品名およびバージョン:Cute News v2.0.1
開発者:CutePHP.com
脆弱性:クロスサイトスクリプティング(CVE-2020-5557、同6.1)、任意のPHPコードが実行可能な脆弱性(CVE-2020-5558、同6.3)
製品名およびバージョン:メールフォーム v1.04
開発者:携帯サイトnet
脆弱性:クロスサイトスクリプティング(CVE-2020-5552、同6.1)、任意のPHPコードが実行可能な脆弱性(CVE-2020-5552、同7.3)
製品名およびバージョン:私本管理 Plus GOOUT v1.5.8 および v2.2.10
開発者:EKAKIN
脆弱性:OSコマンドインジェクション(CVE-2020-5556、同7.3)、ディレクトリトラバーサル(CVE-2020-5554、同7.3)、任意のファイルを操作される脆弱性(CVE-2020-5555、同7.3)