PHP工房の複数の製品に脆弱性、意図しない操作やログインされる可能性(JVN) | ScanNetSecurity
2020.09.18(金)

PHP工房の複数の製品に脆弱性、意図しない操作やログインされる可能性(JVN)

独立行政法人情報処理推進機構(IPA)および一般社団法人JPCERTコーディネーションセンター(JPCERT/CC)は7月31日、PHP工房が提供する複数の製品に複数の脆弱性が存在すると「Japan Vulnerability Notes(JVN)」で発表した。

脆弱性と脅威 セキュリティホール・脆弱性
独立行政法人情報処理推進機構(IPA)および一般社団法人JPCERTコーディネーションセンター(JPCERT/CC)は7月31日、PHP工房が提供する複数の製品に複数の脆弱性が存在すると「Japan Vulnerability Notes(JVN)」で発表した。三井物産セキュアディレクション株式会社の東内裕二氏が報告を行った。

影響を受けるシステムは次の通り。

CVE-2020-5615
【Calendar01】(3デバイス対応)PHP営業日・スケジュールカレンダーフリー(無料)版 ver1.0.0
【Calendar02】PHP営業日・スケジュールカレンダー(テキスト入力付) フリー・無料版 ver1.0.0

CVE-2020-5616
【Calendar01】(3デバイス対応)PHP営業日・スケジュールカレンダーフリー(無料)版 ver1.0.0
【Calendar02】PHP営業日・スケジュールカレンダー(テキスト入力付) フリー・無料版 ver1.0.0
【PKOBO-News01】PHP新着情報・お知らせ・ニュースCMSプログラム フリー(無料)版 ver1.0.3 およびそれ以前
【PKOBO-vote01】PHP投票・アンケートシステム(連続投票防止付き)CMS フリー(無料)版 ver1.0.1 およびそれ以前
【Telop01】PHPテロップ・ニュースティッカー・ヘッドラインCMS フリー(無料)版 ver1.0.0
【Gallery01】PC、スマホ、ガラケー3デバイス対応写真ギャラリーCMS フリー(無料)版 ver1.0.3 およびそれ以前
【CalendarForm01】(受付上限設定付き)予約・応募フォーム連動 営業日カレンダー フリー(無料)版 ver1.0.3 およびそれ以前
【Link01】PHPリンク集ページCMS フリー(無料)版 ver1.0.0

これらの製品には、クロスサイトリクエストフォージェリ(CVE-2020-5615)、認証不備(CVE-2020-5616)の脆弱性が存在する。

これらの製品に想定される影響は各脆弱性により異なるが、当該製品にログインした状態のユーザが細工されたページにアクセスした場合、意図しない操作をさせられる(CVE-2020-5615)、特定の条件下において遠隔の第三者に管理者権限で当該製品にログインされる(CVE-2020-5616)可能性がある。

JVNでは、開発者が提供する情報をもとに最新版へアップデートする(CVE-2020-5615)か、対象ファイルへコードの追加を行う(CVE-2020-5616)よう呼びかけている。

《ScanNetSecurity》

関連記事

PageTop

特集

アクセスランキング

  1. 事務局のパソコンが「Emotet」感染、パスワード付きZipファイル添付に注意呼びかけ(日本医師会)

    事務局のパソコンが「Emotet」感染、パスワード付きZipファイル添付に注意呼びかけ(日本医師会)

  2. 社内パソコンがウイルス感染、メール送受信履歴に含まれるアドレスへなりすましメールを送付(ライフ)

    社内パソコンがウイルス感染、メール送受信履歴に含まれるアドレスへなりすましメールを送付(ライフ)

  3. TLS 1.2以前の暗号を解読する「Raccoon Attack」攻撃(JVN)

    TLS 1.2以前の暗号を解読する「Raccoon Attack」攻撃(JVN)

  4. 社員PCがEmotetに感染、社内外のメールデータが流出(岩出建設)

    社員PCがEmotetに感染、社内外のメールデータが流出(岩出建設)

  5. 社内パソコンがEmotet感染、取引先でも不審メールを確認(山一商事)

    社内パソコンがEmotet感染、取引先でも不審メールを確認(山一商事)

  6. パスワードリスト型攻撃のフォレンジック調査で新たな不正ログイン判明(三越伊勢丹)

    パスワードリスト型攻撃のフォレンジック調査で新たな不正ログイン判明(三越伊勢丹)

  7. やけど虫の駆除方法、体液が皮膚に付いてしまった場合の対策について

    やけど虫の駆除方法、体液が皮膚に付いてしまった場合の対策について

  8. 「Emotet」関連相談が急増、パスワード付きZIPファイル添付攻撃も確認(IPA)

    「Emotet」関連相談が急増、パスワード付きZIPファイル添付攻撃も確認(IPA)

  9. 開発者がセキュリティの責を負う時代到来か、セキュアコーディングのSaaS型eラーニングサービス開始(Flatt Security)

    開発者がセキュリティの責を負う時代到来か、セキュアコーディングのSaaS型eラーニングサービス開始(Flatt Security)

  10. PCI DSS v4.0 が 2021年公開、8 年ぶりのメジャーバージョンアップ ~ 改訂の 2 つの目的と移行スケジュール

    PCI DSS v4.0 が 2021年公開、8 年ぶりのメジャーバージョンアップ ~ 改訂の 2 つの目的と移行スケジュールPR

ランキングをもっと見る