脆弱性があるが開発者と連絡がつかないソフト一覧、使用中止呼びかけ(JVN) | ScanNetSecurity
2020.04.06(月)

脆弱性があるが開発者と連絡がつかないソフト一覧、使用中止呼びかけ(JVN)

IPAおよびJPCERT/CCは、連絡不能案件として5つのソフトウェアについて脆弱性情報を「JVN」で発表した。

脆弱性と脅威 セキュリティホール・脆弱性
独立行政法人 情報処理推進機構(IPA)および一般社団法人 JPCERT コーディネーションセンター(JPCERT/CC)は3月24日、連絡不能案件として5つのソフトウェアについて脆弱性情報を「Japan Vulnerability Notes(JVN)」で発表した。いずれも連絡の応答がなく調整不能であり、脆弱性の存在が認められると判断できること、脆弱性情報を知り得ないユーザがいることなどの条件を満たしたため、公表されたもの。

公表されたソフトウェアおよびその概要は次の通り。

製品名およびバージョン:掲示板 積木 v1.15
開発者:Mash room - Free CGI -
脆弱性:OSコマンドインジェクション(CVE-2020-5561)
CVSS v3 Base Score:7.3

ソフトウエア製品名およびバージョン:WL-Enq 1.11
開発者:WonderLink
脆弱性:OSコマンドインジェクション(CVE-2020-5560)
    クロスサイトスクリプティング(CVE-2020-5559)
CVSS v3 最大Base Score:8.8

ソフトウエア製品名およびバージョン:Cute News 2.0.1
開発者:CutePHP.com
脆弱性:任意のPHPコード実行(CVE-2020-5558)
    クロスサイトスクリプティング(CVE-2020-5557)
CVSS v3 最大Base Score:6.3

ソフトウエア製品名およびバージョン:私本管理 Plus GOOUT Ver1.5.8 および Ver2.2.10
開発者:EKAKIN
脆弱性:OSコマンドインジェクション(CVE-2020-5556)
    ディレクトリトラバーサル(CVE-2020-5554)
    任意のファイルを操作される脆弱性(CVE-2020-5555)
CVSS v3 最大Base Score:7.3

ソフトウエア製品名およびバージョン:メールフォーム 1.04
開発者:携帯サイトnet
脆弱性:任意のPHPコード実行(CVE-2020-5553)
    クロスサイトスクリプティング(CVE-2020-5552)
CVSS v3 最大Base Score:7.3

JVNでは、これらの製品は製品開発者と連絡が取れないため、脆弱性の対策状況は不明であり、使用中止を検討するよう呼びかけている。

《吉澤 亨史( Kouji Yoshizawa )》

関連記事

PageTop

特集

アクセスランキング

  1. オフィシャルサイトが改ざん被害で公開停止、原因解明中(ソニー・ミュージック)

    オフィシャルサイトが改ざん被害で公開停止、原因解明中(ソニー・ミュージック)

  2. 最強のバイリンガルエンジニア集団が開く、グローバルセキュリティエキスパートの東南アジア進出

    最強のバイリンガルエンジニア集団が開く、グローバルセキュリティエキスパートの東南アジア進出PR

  3. 全国手話検定試験受験者の個人情報記録、USBメモリ紛失(全国手話研修センター全国手話検定試験事務局)

    全国手話検定試験受験者の個人情報記録、USBメモリ紛失(全国手話研修センター全国手話検定試験事務局)

  4. 従業員が顧客の取引履歴をツイート、社内規定に則り処分予定(晴れる屋)

    従業員が顧客の取引履歴をツイート、社内規定に則り処分予定(晴れる屋)

  5. 成人向け動画にログインすると別人アカウントに切り替わり、購入・視聴履歴等 閲覧可能に(ソフト・オン・デマンド)

    成人向け動画にログインすると別人アカウントに切り替わり、購入・視聴履歴等 閲覧可能に(ソフト・オン・デマンド)

  6. セキュリティ・キャンプ修了生が起業した AI セキュリティ企業が資金調達(ChillStack)

    セキュリティ・キャンプ修了生が起業した AI セキュリティ企業が資金調達(ChillStack)

  7. iPS 細胞研究所の非常勤職員を懲戒解雇、機密書類スキャンや教授宛メール盗み見(京都大学)

    iPS 細胞研究所の非常勤職員を懲戒解雇、機密書類スキャンや教授宛メール盗み見(京都大学)

  8. メール誤送信による情報漏えい、事故原因の分析と対策の手がかり

    メール誤送信による情報漏えい、事故原因の分析と対策の手がかり

  9. 成人動画サービスの顧客情報漏えい続報、原因はCDNのキャッシュか(ソフト・オン・デマンド)

    成人動画サービスの顧客情報漏えい続報、原因はCDNのキャッシュか(ソフト・オン・デマンド)

  10. セーブデータの改造ツール提供の法人ら、技術的制限の不正回避で摘発(ACCS)

    セーブデータの改造ツール提供の法人ら、技術的制限の不正回避で摘発(ACCS)

ランキングをもっと見る