脆弱性ポータルサイト“JVN”は3月24日、「私本管理 Plus GOOUT」に複数の脆弱性が存在することを公表した。
「私本管理 Plus」は、蔵書を管理するためのデータベースソフト。「私本管理 Plus GOOUT」はそのデータベースを出先のPCやスマートフォンなどからチェックできるようにするためのCGIで、いずれも作者サイトで無償提供されている。
脆弱性レポート“JVN#63834780”および“JVN#32415420”によると、「私本管理 Plus GOOUT」には以下の脆弱性が存在する。いずれも「私本管理 Plus GOOUT」v1.5.8およびv2.2.10で確認されている。
- CVE-2020-5556(OSコマンドインジェクション):リモートから任意のOSコマンドを実行される
- CVE-2020-5554(ディレクトリトラバーサル):Webサーバー上の任意のファイルが読み書きされる
- CVE-2020-5555(任意のファイル操作):CGIが設置されたディレクトリと同じディレクトリのファイルが読み書きされる
独立行政法人・情報処理推進機構(IPA)は2011年終わりから数回にわたり連絡を試みたが返答がなく、修正が期待されないまま公開が継続されていることから、脆弱性の公表に踏み切ったとのこと。IPAは当該製品の利用中止を検討するよう呼び掛けている。
"本" - Google ニュース
March 24, 2020 at 02:17PM
https://ift.tt/2JcrFeg
「私本管理 Plus GOOUT」に複数の脆弱性 ~開発者と連絡が取れず、利用中止の検討を呼びかけ - 窓の杜
"本" - Google ニュース
https://ift.tt/2sW4orS
Shoes Man Tutorial
Pos News Update
Meme Update
Korean Entertainment News
Japan News Update
Bagikan Berita Ini
0 Response to "「私本管理 Plus GOOUT」に複数の脆弱性 ~開発者と連絡が取れず、利用中止の検討を呼びかけ - 窓の杜"
Post a Comment