20/04/23 12:34:02 .net
「私本管理 Plus GOOUT」に複数の脆弱性 ~開発者と連絡が取れず、利用中止の検討を呼びかけ
蔵書管理アプリ「私本管理 Plus」のデータを出先からチェックできるようにするCGI
樽井 秀人2020年3月24日 16:17
URLリンク(forest.watch.impress.co.jp)
脆弱性ポータルサイト“JVN”は3月24日、「私本管理 Plus GOOUT」に複数の脆弱性が存在する
ことを公表した。
「私本管理 Plus」は、蔵書を管理するためのデータベースソフト。「私本管理 Plus GOOUT」はその
データベースを出先のPCやスマートフォンなどからチェックできるようにするためのCGIで、いずれも
作者サイトで無償提供されている。
脆弱性レポート“JVN#63834780”および“JVN#32415420”によると、「私本管理 Plus GOOUT」には
以下の脆弱性が存在する。いずれも「私本管理 Plus GOOUT」v1.5.8およびv2.2.10で確認されている。
・ CVE-2020-5556(OSコマンドインジェクション):リモートから任意のOSコマンドを実行される
・ CVE-2020-5554(ディレクトリトラバーサル):Webサーバー上の任意のファイルが読み書きされる
・ CVE-2020-5555(任意のファイル操作):CGIが設置されたディレクトリと同じディレクトリのファイルが
読み書きされる
独立行政法人・情報処理推進機構(IPA)は2011年終わりから数回にわたり連絡を試みたが返答が
なく、修正が期待されないまま公開が継続されていることから、脆弱性の公表に踏み切ったとのこと。
IPAは当該製品の利用中止を検討するよう呼び掛けている。