Plone にオープンリダイレクトの脆弱性 | ScanNetSecurity
2023.10.01(日)

Plone にオープンリダイレクトの脆弱性

独立行政法人情報処理推進機構(IPA)および一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)は8月12日、Plone におけるオープンリダイレクトの脆弱性について「Japan Vulnerability Notes(JVN)」で発表した。

脆弱性と脅威 セキュリティホール・脆弱性
 独立行政法人情報処理推進機構(IPA)および一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)は8月12日、Plone におけるオープンリダイレクトの脆弱性について「Japan Vulnerability Notes(JVN)」で発表した。三井物産セキュアディレクション株式会社の東内裕二氏が報告を行っている。影響を受けるシステムは以下の通り。

Plone 5.2.5 より前のバージョンで、パッケージ Products.isurlinportal が 1.2.0 より前の製品

 Plone Foundation が提供する Plone には、オープンリダイレクトの脆弱性が存在し、細工された URL にアクセスすることで任意のWebサイトにリダイレクトされ、結果としてフィッシングなどの被害にあう可能性がある。

 開発者は Python 2.7 以降で動作する Plone 4.3 及び 5 向けのパッチ(Products.isurlinportal 1.2.0)をリリースしており、JVNではパッチを適用するよう呼びかけている。

《ScanNetSecurity》

関連記事

関連リンク

特集

PageTop

アクセスランキング

  1. 仕事旅⾏社のサーバに不正アクセス「日本警察が要求に従わない場合データ公開」

    仕事旅⾏社のサーバに不正アクセス「日本警察が要求に従わない場合データ公開」

  2. IPA 基準適合サービスリスト 脆弱性診断サービス 7 社追加

    IPA 基準適合サービスリスト 脆弱性診断サービス 7 社追加

  3. NHK放送センターに不正アクセス、従業者等個人情報漏えいの可能性を完全に否定することは難しい

    NHK放送センターに不正アクセス、従業者等個人情報漏えいの可能性を完全に否定することは難しい

  4. JR西日本グループの山陽SC開発のメールアカウントに不正アクセス、迷惑メール送信踏み台に

    JR西日本グループの山陽SC開発のメールアカウントに不正アクセス、迷惑メール送信踏み台に

  5. SB C&S運営の事業者向けECサイト「Mobile Solution Market」に不正アクセス

    SB C&S運営の事業者向けECサイト「Mobile Solution Market」に不正アクセス

  6. メガネスーパー運営企業の個人情報、法律上無効の可能性がある契約に基づき譲渡された店舗の POS 端末で検索した形跡

    メガネスーパー運営企業の個人情報、法律上無効の可能性がある契約に基づき譲渡された店舗の POS 端末で検索した形跡

  7. NICTの業務委託先 TBSグロウディアでノートPC紛失

    NICTの業務委託先 TBSグロウディアでノートPC紛失

  8. 日経BPを騙ったフィッシングメールに注意を呼びかけ

    日経BPを騙ったフィッシングメールに注意を呼びかけ

  9. 広告からサポート詐欺へ遷移、手口分析レポート公開

    広告からサポート詐欺へ遷移、手口分析レポート公開

  10. カスペルスキーと静岡大学、シニア向けセキュリティ啓発教材を登録不要で無償提供

    カスペルスキーと静岡大学、シニア向けセキュリティ啓発教材を登録不要で無償提供

ランキングをもっと見る
ホーム 脆弱性と脅威 セキュリティホール・脆弱性 記事
TOP