独立行政法人情報処理推進機構(IPA)および一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)は10月2日、厚生労働省が提供する医薬品等電子申請ソフトにXML外部実体参照(XXE)に関する脆弱性が存在すると「Japan Vulnerability Notes(JVN)」で発表した。
「医薬品医療機器等法対応医薬品等電子申請ソフト 2022年04月版(バージョン9.01)およびそれ以前」には、XML外部実体参照(XXE)に関する脆弱性(CVE-2023-42132)が存在する。細工されたXMLファイルを当該製品に読み込ませることにより、システム内の任意のファイルを読み取られる可能性がある。
JVNでは、開発者が提供する情報をもとに、最新版へアップデートするよう呼びかけている。同脆弱性を修正したバージョンとして、「医薬品医療機器等法対応医薬品等電子申請ソフト 2023年09月版(バージョン9.02)」がリリースされている。
この脆弱性情報は、日本電気株式会社の外山拓氏、榊龍太郎氏がIPAに報告を行った。
![Log4Shell のような経験はもう二度としない ~ SSVC が搭載された FutureVuls を活用し、現実的な脆弱性管理を実現 [株式会社マイナビ]](/imgs/p/VBQCg88_AM0-DSZSF4-0dQsJwAfOBQQDAgEA/43935.jpg)
