「シンプル携帯チャット」に任意スクリプト実行の脆弱性、使用停止を(JVN)
IPAおよびJPCERT/CCは、LEMON-S PHPが提供する「シンプル携帯チャット」にクロスサイトスクリプティングの脆弱性が存在すると「JVN」で発表した。
脆弱性と脅威
セキュリティホール・脆弱性
「シンプル携帯チャット 2.0 およびそれ以前」には、反射型および格納型のXSSの脆弱性(CVE-2016-7817)が存在する。この脆弱性が悪用されると、ユーザのWebブラウザ上で任意のスクリプトを実行される可能性がある。JVNでは、すでに開発および配布が終了しているソフトウェアであるため、使用を停止するよう呼びかけている。
《吉澤 亨史( Kouji Yoshizawa )》