脆弱性があるが開発者と連絡がつかないソフト一覧、使用中止呼びかけ(JVN)
IPAおよびJPCERT/CCは、連絡不能案件として5つのソフトウェアについて脆弱性情報を「JVN」で発表した。
脆弱性と脅威
セキュリティホール・脆弱性
公表されたソフトウェアおよびその概要は次の通り。
製品名およびバージョン:掲示板 積木 v1.15
開発者:Mash room - Free CGI -
脆弱性:OSコマンドインジェクション(CVE-2020-5561)
CVSS v3 Base Score:7.3
ソフトウエア製品名およびバージョン:WL-Enq 1.11
開発者:WonderLink
脆弱性:OSコマンドインジェクション(CVE-2020-5560)
クロスサイトスクリプティング(CVE-2020-5559)
CVSS v3 最大Base Score:8.8
ソフトウエア製品名およびバージョン:Cute News 2.0.1
開発者:CutePHP.com
脆弱性:任意のPHPコード実行(CVE-2020-5558)
クロスサイトスクリプティング(CVE-2020-5557)
CVSS v3 最大Base Score:6.3
ソフトウエア製品名およびバージョン:私本管理 Plus GOOUT Ver1.5.8 および Ver2.2.10
開発者:EKAKIN
脆弱性:OSコマンドインジェクション(CVE-2020-5556)
ディレクトリトラバーサル(CVE-2020-5554)
任意のファイルを操作される脆弱性(CVE-2020-5555)
CVSS v3 最大Base Score:7.3
ソフトウエア製品名およびバージョン:メールフォーム 1.04
開発者:携帯サイトnet
脆弱性:任意のPHPコード実行(CVE-2020-5553)
クロスサイトスクリプティング(CVE-2020-5552)
CVSS v3 最大Base Score:7.3
JVNでは、これらの製品は製品開発者と連絡が取れないため、脆弱性の対策状況は不明であり、使用中止を検討するよう呼びかけている。
《吉澤 亨史( Kouji Yoshizawa )》