アーカイブ
yoyaku_v41 における OSコマンドインジェクションの脆弱性
2009年9月18日 | 注意喚起
LAC Advisory No.102
Problem first discovered on: Wed, 05 Apr 2009
Published on: Fri, 18 Sep 2009
脅威度
高
概要
株式会社ディーアイシーが提供する yoyaku_v41 には、OSコマンドインジェクションの脆弱性が存在します。
詳細
株式会社ディーアイシーが提供する yoyaku_v41 は、施設の予約管理を行うためのソフトウェアです。
yoyaku_v41 には、OSコマンドインジェクションの脆弱性が存在します。この問題を悪用されることで、yoyaku_v41 を設置しているサーバ上で、ウェブサーバの権限で任意の OSコマンドを実行される可能性があります。
影響を受ける バージョン
yoyaku_v41 Version:1.10 以前
対策
開発者が提供する対策済みバージョン(Version:1.20 以降)へアップデートしてください。
http://www.d-ic.com/free/06/yoyaku_v41.html
発見者
山崎 圭吾 (ラック)
謝辞:
本問題は、情報処理推進機構(IPA) および JPCERT/CC による『情報システム等の脆弱性関連情報の届出制度』に従い届出を行いました。
http://jvn.jp/jp/JVN05857667/
http://jvndb.jvn.jp/ja/contents/2009/JVNDB-2009-000060.html