ニュース

「私本管理 Plus GOOUT」に複数の脆弱性 ~開発者と連絡が取れず、利用中止の検討を呼びかけ

蔵書管理アプリ「私本管理 Plus」のデータを出先からチェックできるようにするCGI

「私本管理 Plus」の公開サイト

 脆弱性ポータルサイト“JVN”は3月24日、「私本管理 Plus GOOUT」に複数の脆弱性が存在することを公表した。

 「私本管理 Plus」は、蔵書を管理するためのデータベースソフト。「私本管理 Plus GOOUT」はそのデータベースを出先のPCやスマートフォンなどからチェックできるようにするためのCGIで、いずれも作者サイトで無償提供されている。

 脆弱性レポート“JVN#63834780”および“JVN#32415420”によると、「私本管理 Plus GOOUT」には以下の脆弱性が存在する。いずれも「私本管理 Plus GOOUT」v1.5.8およびv2.2.10で確認されている。

  • CVE-2020-5556(OSコマンドインジェクション):リモートから任意のOSコマンドを実行される
  • CVE-2020-5554(ディレクトリトラバーサル):Webサーバー上の任意のファイルが読み書きされる
  • CVE-2020-5555(任意のファイル操作):CGIが設置されたディレクトリと同じディレクトリのファイルが読み書きされる

 独立行政法人・情報処理推進機構(IPA)は2011年終わりから数回にわたり連絡を試みたが返答がなく、修正が期待されないまま公開が継続されていることから、脆弱性の公表に踏み切ったとのこと。IPAは当該製品の利用中止を検討するよう呼び掛けている。