「せん茶SNS」にセッション固定やCSRFの脆弱性、アップデートを呼びかけ（JVN）

IPAおよびJPCERT/CCは、アイシーズが提供するオープンソースのSNS構築ソフトウェア「せん茶SNS」に複数の脆弱性が存在するとJVNで発表した。

脆弱性と脅威セキュリティホール・脆弱性

20 views

2012.4.6 Fri 17:13

独立行政法人情報処理推進機構（IPA）および一般社団法人 JPCERT コーディネーションセンター（JPCERT/CC）は4月5日、株式会社アイシーズが提供するオープンソースのSNS構築ソフトウェア「せん茶SNS」に複数の脆弱性が存在すると「Japan Vulnerability Notes（JVN）」で発表した。

「せん茶SNS 1.0.1およびそれ以前」には、セッション固定の脆弱性（CVE-2012-1238）およびクロスサイトリクエストフォージェリ（CSRF）の脆弱性（CVE-2012-1237）が存在する。これらの問題が悪用されると、リモートの攻撃者によって登録ユーザになりすまされ、結果として情報の漏えいや改ざんなどの影響を受ける、あるいはユーザが当該製品にログインした状態で悪意あるページを読み込んだ場合、当該製品上で任意の操作を実行される可能性がある。JVNでは、開発者が提供する情報をもとに最新版へアップデートするよう呼びかけている。

《吉澤亨史（ Kouji Yoshizawa ）》