「私本管理 Plus GOOUT」に複数の脆弱性 ～開発者と連絡が取れず、利用中止の検討を呼びかけ（5月8日追記）

「私本管理 Plus」の公開サイト

　脆弱性ポータルサイト“JVN”は3月24日、「私本管理 Plus GOOUT」に複数の脆弱性が存在することを公表した。

　「私本管理 Plus」は、蔵書を管理するためのデータベースソフト。「私本管理 Plus GOOUT」はそのデータベースを出先のPCやスマートフォンなどからチェックできるようにするためのCGIで、いずれも作者サイトで無償提供されている。

　脆弱性レポート“JVN#63834780”および“JVN#32415420”によると、「私本管理 Plus GOOUT」には以下の脆弱性が存在する。いずれも「私本管理 Plus GOOUT」v1.5.8およびv2.2.10で確認されている。

• CVE-2020-5556（OSコマンドインジェクション）：リモートから任意のOSコマンドを実行される
• CVE-2020-5554（ディレクトリトラバーサル）：Webサーバー上の任意のファイルが読み書きされる
• CVE-2020-5555（任意のファイル操作）：CGIが設置されたディレクトリと同じディレクトリのファイルが読み書きされる

　独立行政法人・情報処理推進機構（IPA）は2011年終わりから数回にわたり連絡を試みたが返答がなく、修正が期待されないまま公開が継続されていることから、脆弱性の公表に踏み切ったとのこと。IPAは当該製品の利用中止を検討するよう呼び掛けている。

5月7日編集部追記： 「私本管理 Plus GOOUT」の作者であるEKAKIN氏より連絡があり、当該脆弱性は2007年11月25日公開の「私本管理 Plus GOOUT」v2.3.11で修正済みとのこと。また、脆弱性が確認されているv1.5.8およびv2.2.10の配布も終了しているという。さらに現在は「私本管理 Plus GOOUT」最新版の配布も停止されている。“JVN”でもv2.3.14では脆弱性が存在しないことを確認している。