独立行政法人情報処理推進機構(IPA)および一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)は8月24日、Exment における複数の脆弱性について「Japan Vulnerability Notes(JVN)」で発表した。株式会社STNetの森山響氏、株式会社エヌ・エフ・ラボラトリーズの中堂優也氏が報告を行っている。影響を受けるシステムは以下の通り。
(PHP8) exceedone/exment v5.0.2 およびそれ以前、exceedone/laravel-admin v3.0.0 およびそれ以前
(PHP7) exceedone/exment v4.4.2 およびそれ以前、exceedone/laravel-admin v2.2.2 およびそれ以前
株式会社カジトリが提供する Exment には、下記の複数の脆弱性が存在し、次のような影響を受ける可能性がある。
・反射型クロスサイトスクリプティング(CVE-2022-38080)
→当該製品を使用しているサイトにアクセスしているユーザのWebブラウザ上で、任意のスクリプトを実行される
・SQL インジェクション(CVE-2022-37333)
→データベース内の情報を窃取されたり、改ざんされる
・格納型クロスサイトスクリプティング(CVE-2022-38089)
→当該製品を使用しているサイトにアクセスしているユーザのWebブラウザ上で、任意のスクリプトを実行される
JVNでは、株式会社カジトリが提供する情報をもとに、Exment および laravel-admin を最新版にアップデートするよう呼びかけている。
![第2のCobalt Strikeか/韓国タクシー会社 迅速な身代金支払と事実公表/医療分野への攻撃が世界的傾向 ほか [Scan PREMIUM Monthly Executive Summary] 画像](/imgs/p/VBQCg88_AM0-DSZSF4-0dQsJwAfOBQQDAgEA/38996.jpg)
