一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)は10月10日、ProselfのXML外部実体参照(XXE)に関する脆弱性を悪用する攻撃への注意喚起を発表した。影響を受けるシステムは以下の通り。
Proselfのすべてのエディションおよびバージョン
株式会社ノースグリッドのオンラインストレージ構築パッケージ製品「Proself」には、XML外部実体参照(XXE)に関する脆弱性が存在し、攻撃を受けた場合、システム内の任意のファイルを外部へ送信される。
ノースグリッド社では、本脆弱性の悪用を含む一連の攻撃を確認しており、攻撃の痕跡を確認する手順やアップデート版リリースまでの暫定対応方法について同社サイトで案内を行っている。
JPCERT/CCでは、当該製品のユーザーをはじめ、運用保守を担当する事業者や、同製品を組み込んでサービスを提供する事業者に対し、ノースグリッド社が提供する情報を確認の上で、推奨される対応の実施を呼びかけている。
