Markdown エディタ「Inkdrop」に OS コマンドインジェクションの脆弱性
独立行政法人情報処理推進機構(IPA)および一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)は6月22日、Inkdrop における OS コマンドインジェクションの脆弱性について「Japan Vulnerability Notes(JVN)」で発表した。
脆弱性と脅威
セキュリティホール・脆弱性
Inkdrop v5.3.1 より前のバージョン
Takuya Matsuyama が提供するMarkdown エディタ「Inkdrop」には、OS コマンドインジェクションの脆弱性が存在し、不正な iframe を含むファイルやコード断片を当該製品に読み込ませた場合、製品が動作するシステム上で任意の OS コマンドが実行される可能性がある。
該当製品にはオートアップデート機能があり、これにより自動的に修正版にアップデートされる。
《ScanNetSecurity》