「高機能アクセス解析CGI」にアクセス解析結果を閲覧される脆弱性

　有限責任中間法人JPCERTコーディネーションセンター（JPCERT/CC）は12月12日、futomi's CGI Cafeが提供する「高機能アクセス解析CGI」にセッションIDが推測可能な脆弱性が存在すると「Japan Vulnerability Notes（JVN）」で公表した。

　高機能アクセス解析CGIは、ウェブページのアクセスログを解析するためのソフトウェア。推測可能なセッションIDを生成してしまうため、遠隔の第三者により管理者になりすまされる可能性がある。結果として、当該製品が設置されたウェブサイトのアクセス解析結果を遠隔の第三者に閲覧される恐れがある。

　この脆弱性の影響を受けるシステムは、「高機能アクセス解析CGI Standard版」のVer 4.0.1およびそれ以前となっている。なお、開発者はこの脆弱性を解消する最新バージョンのVer 4.0.2を公開しており、アップデートを呼びかけている。

　JVNではこの脆弱性の危険度について、攻撃経路では「インターネット経由からの攻撃が可能（高）」、認証レベルでは「匿名もしくは認証なしで攻撃が可能（高）」、攻撃成立に必要なユーザーの関与では「ユーザーが何もしなくても攻撃される可能性あり（高）」、攻撃の難易度では「ある程度の専門的知識や運が必要（中〜高）」と分析している。