IPAの脆弱性学習ツール「AppGoat」に複数の脆弱性 ～最新版へのアップデートを

“JVN”が公表した脆弱性レポート

　独立行政法人情報処理推進機構（IPA）とJPCERT コーディネーションセンターが運営する脆弱性対策情報ポータルサイト“JVN”は6日、脆弱性体験学習ツール「AppGoat」に複数の脆弱性が存在することを明らかにした。

　「AppGoat」は、IPAが無償で提供する脆弱性体験学習ツール。テーマごとに用意された演習問題に挑戦しながら、脆弱性の発見、プログラミング上の問題点の把握、対策の手法を対話的に学習できる。

　“JVN”が公表した脆弱性レポートによると、「AppGoat」のWebアプリケーション用学習ツールv3.0.2およびそれ以前のバージョンには、任意のコードが実行可能な脆弱性（JVN#01404851、JVN#20870477、JVN#80238098）や、情報漏えいの脆弱性（JVN#32120290）が存在するという。最悪の場合、任意のコードや意図しない処理が実行されてしまう恐れがある。

　なお、IPAは修正版のv3.0.3を同日付でリリース済み。旧バージョンを利用している場合はそれを停止するか、修正版を再インストールするよう呼び掛けている。ただし、v3.0.3では利用許諾条件合意書の改訂が行われているため、再度利用許諾合意書を確認の上、IPAに利用申請メールを送信する必要がある。