IPAの脆弱性学習ツールに脆弱性があると判明

“JVN”が公表した脆弱性レポート

　脆弱性対策情報ポータルサイト“JVN”は9日、脆弱性体験学習ツール「AppGoat」に複数の脆弱性が存在することを明らかにした。

　「AppGoat」は、独立行政法人情報処理推進機構（IPA）が無償で提供する脆弱性体験学習ツール。テーマごとに用意された演習問題に挑戦しながら、脆弱性の発見、プログラミング上の問題点の把握、対策の手法を対話的に学習できる。

　“JVN”が公表した脆弱性レポートによると、「AppGoat」のWebアプリケーション用学習ツールv3.0.0およびそれ以前のバージョンには、任意のコードが実行可能な脆弱性（JVN#71666779）、DNSリバインディングの脆弱性（JVN#87662835）、認証不備の脆弱性（JVN#88176589）、クロスサイトリクエストフォージェリの脆弱性（JVN#39008927）が存在するという。最悪の場合、任意のコードや意図しない処理が実行されてしまう恐れがある。

　なお、IPAは修正版のv3.0.1を同日付でリリース済み。Webアプリケーション用学習ツールv2.0およびv3.0を利用している場合はそれを停止するか、修正版を再インストールするよう呼び掛けている。