脆弱性があるが開発者と連絡がつかないソフト一覧、使用中止呼びかけ（JVN）

IPAおよびJPCERT/CCは、連絡不能案件として5つのソフトウェアについて脆弱性情報を「JVN」で発表した。

脆弱性と脅威セキュリティホール・脆弱性

2020.3.26 Thu 9:05

独立行政法人情報処理推進機構（IPA）および一般社団法人 JPCERT コーディネーションセンター（JPCERT/CC）は3月24日、連絡不能案件として5つのソフトウェアについて脆弱性情報を「Japan Vulnerability Notes（JVN）」で発表した。いずれも連絡の応答がなく調整不能であり、脆弱性の存在が認められると判断できること、脆弱性情報を知り得ないユーザがいることなどの条件を満たしたため、公表されたもの。

公表されたソフトウェアおよびその概要は次の通り。

製品名およびバージョン：掲示板積木 v1.15
開発者：Mash room - Free CGI -
脆弱性：OSコマンドインジェクション（CVE-2020-5561）
CVSS v3 Base Score：7.3

ソフトウエア製品名およびバージョン：WL-Enq 1.11
開発者：WonderLink
脆弱性：OSコマンドインジェクション（CVE-2020-5560）
　　　　クロスサイトスクリプティング（CVE-2020-5559）
CVSS v3 最大Base Score：8.8

ソフトウエア製品名およびバージョン：Cute News 2.0.1
開発者：CutePHP.com
脆弱性：任意のPHPコード実行（CVE-2020-5558）
　　　　クロスサイトスクリプティング（CVE-2020-5557）
CVSS v3 最大Base Score：6.3

ソフトウエア製品名およびバージョン：私本管理 Plus GOOUT Ver1.5.8 および Ver2.2.10
開発者：EKAKIN
脆弱性：OSコマンドインジェクション（CVE-2020-5556）
　　　　ディレクトリトラバーサル（CVE-2020-5554）
　　　　任意のファイルを操作される脆弱性（CVE-2020-5555）
CVSS v3 最大Base Score：7.3

ソフトウエア製品名およびバージョン：メールフォーム 1.04
開発者：携帯サイトnet
脆弱性：任意のPHPコード実行（CVE-2020-5553）
　　　　クロスサイトスクリプティング（CVE-2020-5552）
CVSS v3 最大Base Score：7.3

JVNでは、これらの製品は製品開発者と連絡が取れないため、脆弱性の対策状況は不明であり、使用中止を検討するよう呼びかけている。

《吉澤亨史（ Kouji Yoshizawa ）》