「高機能アクセス解析CGI」に管理者権限を奪取される脆弱性

　独立行政法人情報処理推進機構セキュリティセンター（IPA/ISEC）および有限責任中間法人JPCERTコーディネーションセンター（JPCERT/CC）は3月31日、futomi's CGI Cafe製「高機能アクセス解析CGI Professional版」に管理者権限を奪取される脆弱性が存在すると公表した。

　高機能アクセス解析CGI Professional版は、ウェブページのアクセスログを解析するためのソフト。今回確認された脆弱性は、高機能アクセス解析CGI Professional版 Ver 4.11.5、およびそれ以前のバージョンに存在する。この脆弱性が悪用されると、遠隔の第三者がこのソフトの管理者になりすます可能性がある。

　futomi's CGI Cafeでは、この脆弱性を解消したVer 4.11.6を公開しており、バージョンアップするよう呼びかけている。なお、アップデートまでの回避策として、この製品が設置されているサーバの設定などにより管理者メニューへのアクセスを不可能にする方法がある。

　なお、JVNではこの脆弱性の危険度について、以下のように分析している。

• 攻撃経路：インターネット経由からの攻撃が可能（高）
• 認証レベル：匿名もしくは認証なしで攻撃が可能（高）
• 攻撃成立に必要なユーザーの関与：ユーザーが何もしなくても攻撃される可能性がある（高）
• 攻撃の難易度：専門的知識や運がなくとも攻撃可能（高）