独立行政法人情報処理推進機構(IPA)および一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)は2月28日、オープンソースのフレームワークである「web2py」にオープンリダイレクトの脆弱性が存在するとして、「Japan Vulnerability Notes(JVN)」で発表した。株式会社エーアイセキュリティラボの吉開拓人氏が報告を行った。
web2pyのソースコードに含まれるadmin開発ツールには、オープンリダイレクトの脆弱性(CVE-2023-22432)が存在する。開発者によると、当該ツールの本番環境での使用やインターネット上での公開は推奨していない。
脆弱性の影響を受けるシステムは次の通り。
・web2py 2.23.1 より前のバージョン 4.1.2-p1
この脆弱性が悪用されると、当該ツールを使用している場合、web2pyの利用者が細工されたURLにアクセスすることで、任意のウェブサイトにリダイレクトされる可能性がある。結果として、フィッシングなどの被害に遭う可能性がある。
JVNでは、開発者が提供する情報をもとに最新版にアップデートするよう呼びかけている。
