国税庁「e-Tax受付システムAP」にコマンド実行の脆弱性(JVN) | ScanNetSecurity
2020.07.02(木)

国税庁「e-Tax受付システムAP」にコマンド実行の脆弱性(JVN)

IPAおよびJPCERT/CCは、国税庁が提供する「Chrome拡張機能e-Tax受付システムAP」に特定の条件下で任意のコマンドが実行可能な脆弱性が存在すると「JVN」で発表した。

脆弱性と脅威 セキュリティホール・脆弱性
独立行政法人 情報処理推進機構(IPA)および一般社団法人 JPCERT コーディネーションセンター(JPCERT/CC)は6月24日、国税庁が提供する「Chrome拡張機能e-Tax受付システムAP」に特定の条件下で任意のコマンドが実行可能な脆弱性(CVE-2020-5601)が存在すると「Japan Vulnerability Notes(JVN)」で発表した。CVSS v3によるBase Scoreは5.0。株式会社サイバーディフェンス研究所のucq氏が報告を行った。

Chrome拡張機能e-Tax受付システムAP は、e-Tax受付システムを Google Chrome または Microsoft Edge (Chromiumベース) で利用するための機能を提供するもの。ユーザが動作させる際に、第三者によって細工されたパラメータを Chrome拡張機能e-Tax受付システムAP に与え、COM オブジェクトが操作されることにより、結果として任意のコマンドが実行される可能性がある。

脆弱性の影響を受けるのは、「Chrome拡張機能e-Tax受付システムAP Ver1.0.0.0」。JVNでは、開発者が提供する情報をもとに最新版へアップデートするよう呼びかけている。

《吉澤 亨史( Kouji Yoshizawa )》

関連記事

PageTop

特集

アクセスランキング

  1. 「不正なデバイスの検知でau IDをロックした」au騙る偽メール(フィッシング対策協議会)

    「不正なデバイスの検知でau IDをロックした」au騙る偽メール(フィッシング対策協議会)

  2. サイバーパンフレット サイバー攻撃の現状 2020(公安調査庁)

    サイバーパンフレット サイバー攻撃の現状 2020(公安調査庁)

  3. 「アカウントを更新できなかった」とする偽Amazonメール(フィッシング対策協議会)

    「アカウントを更新できなかった」とする偽Amazonメール(フィッシング対策協議会)

  4. 自宅での作業用に254件のアドレス記載したメールを誤送信(横浜市)

    自宅での作業用に254件のアドレス記載したメールを誤送信(横浜市)

  5. 不正なログインによりパスワードを無効化したとするAmazon偽メール(フィッシング対策協議会)

    不正なログインによりパスワードを無効化したとするAmazon偽メール(フィッシング対策協議会)

  6. やけど虫の駆除方法、体液が皮膚に付いてしまった場合の対策について

    やけど虫の駆除方法、体液が皮膚に付いてしまった場合の対策について

  7. ScanNetSecurity BASIC MEMBERS 会員限定記事 ログインパスワード発行 URL のおしらせ  (対象:2015 年7 月 15 日 より前に無料メルマガ「Scan BASIC」の読者であったみなさま)

    ScanNetSecurity BASIC MEMBERS 会員限定記事 ログインパスワード発行 URL のおしらせ (対象:2015 年7 月 15 日 より前に無料メルマガ「Scan BASIC」の読者であったみなさま)

  8. テレワーク実施実態調査:都道府県別・業界別・職種別

    テレワーク実施実態調査:都道府県別・業界別・職種別

  9. クラウド侵害の半数近くがホストアプリを経由(日本IBM)

    クラウド侵害の半数近くがホストアプリを経由(日本IBM)

  10. LINEプロフィール画像改ざん事件、脆弱性検証から逸脱した行為と判断(LINE)

    LINEプロフィール画像改ざん事件、脆弱性検証から逸脱した行為と判断(LINE)

ランキングをもっと見る