「アクセス解析CGI An-Analyzer」に複数の脆弱性(JVN)
IPAおよびJPCERT/CCは、アングラーズネットが提供する「アクセス解析CGI An-Analyzer」に、複数の脆弱性が存在すると「JVN」で発表した。
脆弱性と脅威
セキュリティホール・脆弱性
2019年6月24日以前に公開されていた「アクセス解析CGI An-Analyzer」には、管理ページにおけるOSコマンドインジェクション(CVE-2019-5987)、管理ページにおける格納型のクロスサイトスクリプティング(CVE-2019-5988)、解析対象ページにおけるDOMベースのクロスサイトスクリプティング(CVE-2019-5989)、情報漏えい(CVE-2019-5990)の脆弱性が存在する。
これらの脆弱性により、当該製品にログイン可能なユーザによって、任意のOSコマンドを実行される(CVE-2019-5987)、ユーザのWebブラウザ上で、任意のスクリプトを実行される(CVE-2019-5988、CVE-2019-5989)、HTTPリファラからログイン用パスワードを取得される(CVE-2019-5990)といった影響を受ける可能性がある。JVNでは、開発者が提供する情報をもとに、当該製品の更新ファイルを適用し、解析用スクリプトを修正するよう呼びかけている。
《吉澤 亨史( Kouji Yoshizawa )》
関連記事
![ランサムウェアサービス提供者「Gandcrab」引退ほか ~ 2019 年 6 月のふりかえり [Scan PREMIUM Monthly Executive Summary] 画像](/imgs/p/VBQCg88_AM0-DSZSF4-0dQsJwAfOBQQDAgEA/27739.png)
関連リンク
特集
アクセスランキング
-
護衛艦いなづまの艦長、資格のない隊員を特定秘密取扱職員に指名し懲戒処分
-
ランサムウェア被害の原因はスターティア社の UTM テストアカウント削除忘れ
-
「意識を高揚させよう」と思い特定秘密の情報を知るべき立場にない隊員に特定秘密の情報を漏らす、懲戒処分に
-
メディキットホームページに不正アクセス、閲覧障害に
-
社内不正 1位 情報持ち出し・2位 横領・3位 労働問題 ~ 被害企業 230 社調査
-
今日もどこかで情報漏えい 第23回「2024年3月の情報漏えい」なめるなという決意 ここまでやるという矜恃
-
日本は悪意ある内部犯行による漏えいが 12 ヶ国中最小、プルーフポイント「Data Loss Landscape 2024(情報漏えいの全容)」日本語版
-
セガ フェイブが利用するメールシステムに不正アクセス、フェニックスリゾートが保有する個人情報が流出した可能性
-
Proofpoint Blog 36回「身代金を払わない結果 日本のランサムウェア感染率減少? 感染率と身代金支払率 15 ヶ国調査 2024」
-
信和へのランサムウェア攻撃で窃取された情報、ロックビット摘発を受けてリークサイトが閉鎖