「i-FILTER」に悪意あるスクリプトを実行される複数の脆弱性(JVN) | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2019.06.18(火)

「i-FILTER」に悪意あるスクリプトを実行される複数の脆弱性(JVN)

IPAおよびJPCERT/CCは、デジタルアーツが提供する有害サイトへのアクセスを遮断するWebセキュリティソフトウェア「i-FILTER」に、複数の脆弱性が存在すると「JVN」で発表した。

脆弱性と脅威 セキュリティホール・脆弱性
独立行政法人 情報処理推進機構(IPA)および一般社団法人 JPCERT コーディネーションセンター(JPCERT/CC)は12月7日、デジタルアーツ株式会社が提供する有害サイトへのアクセスを遮断するWebセキュリティソフトウェア「i-FILTER」に、複数の脆弱性が存在すると「Japan Vulnerability Notes(JVN)」で発表した。CVSSによる最大Base Scoreは6.1。

株式会社ラックの山崎圭吾氏が報告を行っており、ラックも「『i-FILTER』に複数の脆弱性。導入企業は最新版に更新を」とする注意喚起を発表している。

「i-FILTER Ver.9.50R05 およびそれ以前」には、クロスサイトスクリプティング(CVE-2018-16180)およびHTTPヘッダインジェクション(CVE-2018-16181)の脆弱性が存在する。仮想ホストからのエラーメッセージに任意の文字列を含ませることが可能であったため、攻撃者による悪意あるスクリプトを実行されてしまう恐れがある。

具体的には、当該製品を使用しているユーザのWebブラウザ上で、任意のスクリプトを実行される、HTTPレスポンス分割攻撃によって、任意のスクリプトを実行されたり、Cookieに任意の値を設定されたりするといった影響を受ける可能性がある。JVNでは、開発者が提供する情報をもとに最新版へアップデートするよう呼びかけている。

《吉澤 亨史( Kouji Yoshizawa )》

関連記事

PageTop

特集

アクセスランキング

  1. パスワードリスト攻撃による不正ログイン、カード不正利用確認(イオン銀行、イオンクレジットサービス)

    パスワードリスト攻撃による不正ログイン、カード不正利用確認(イオン銀行、イオンクレジットサービス)

  2. フィッシング詐欺キットに脆弱性、ターゲットは二度被害に遭う可能性(The Register)

    フィッシング詐欺キットに脆弱性、ターゲットは二度被害に遭う可能性(The Register)

  3. 「NOTICE」と合わせ、感染IoT利用者にも注意喚起(総務省、NICT、ICT-ISAC)

    「NOTICE」と合わせ、感染IoT利用者にも注意喚起(総務省、NICT、ICT-ISAC)

  4. Webサイトのサーバに第三者から不正アクセス、ウイルス感染や情報流出は確認されず(日邦産業)

    Webサイトのサーバに第三者から不正アクセス、ウイルス感染や情報流出は確認されず(日邦産業)

  5. 「脆弱性診断の内製化」セミナー、体験会も同時開催(SHIFT)

    「脆弱性診断の内製化」セミナー、体験会も同時開催(SHIFT)PR

  6. PostgreSQL において COPY 文の権限設定不備により遠隔から任意のコードが実行可能となる脆弱性(Scan Tech Report)

    PostgreSQL において COPY 文の権限設定不備により遠隔から任意のコードが実行可能となる脆弱性(Scan Tech Report)

  7. 決済画面書き換えカード情報窃取(熊本ワイン)

    決済画面書き換えカード情報窃取(熊本ワイン)

  8. 約5,000枚の「振替払出書」と「振替払出証書」を紛失、誤廃棄の可能性(ゆうちょ銀行)

    約5,000枚の「振替払出書」と「振替払出証書」を紛失、誤廃棄の可能性(ゆうちょ銀行)

  9. Vtuber支援サービスでユーザーのメールアドレスが流出、暗号化されたパスワードの脆弱性も判明(ZIG)

    Vtuber支援サービスでユーザーのメールアドレスが流出、暗号化されたパスワードの脆弱性も判明(ZIG)

  10. セブン銀行を騙るフィッシングSMSに注意を呼びかけ(フィッシング対策協議会)

    セブン銀行を騙るフィッシングSMSに注意を呼びかけ(フィッシング対策協議会)

ランキングをもっと見る