「高機能アクセス解析CGI」に管理者権限を奪取される脆弱性

  • このエントリーをはてなブックマークに追加

 独立行政法人情報処理推進機構セキュリティセンター(IPA/ISEC)および有限責任中間法人JPCERTコーディネーションセンター(JPCERT/CC)は3月31日、futomi's CGI Cafe製「高機能アクセス解析CGI Professional版」に管理者権限を奪取される脆弱性が存在すると公表した。

 高機能アクセス解析CGI Professional版は、ウェブページのアクセスログを解析するためのソフト。今回確認された脆弱性は、高機能アクセス解析CGI Professional版 Ver 4.11.5、およびそれ以前のバージョンに存在する。この脆弱性が悪用されると、遠隔の第三者がこのソフトの管理者になりすます可能性がある。

 futomi's CGI Cafeでは、この脆弱性を解消したVer 4.11.6を公開しており、バージョンアップするよう呼びかけている。なお、アップデートまでの回避策として、この製品が設置されているサーバの設定などにより管理者メニューへのアクセスを不可能にする方法がある。

 なお、JVNではこの脆弱性の危険度について、以下のように分析している。

  • 攻撃経路:インターネット経由からの攻撃が可能(高)
  • 認証レベル:匿名もしくは認証なしで攻撃が可能(高)
  • 攻撃成立に必要なユーザーの関与:ユーザーが何もしなくても攻撃される可能性がある(高)
  • 攻撃の難易度:専門的知識や運がなくとも攻撃可能(高)
  • このエントリーをはてなブックマークに追加