法務省提供「申請用総合ソフト」にXXE攻撃の脆弱性 ～任意のファイルを読み取られる恐れ

JVNの脆弱性レポート（JVN#73178249）

　脆弱性ポータルサイト「JVN」は4月19日、法務省が提供する「申請用総合ソフト」に関する脆弱性レポート（JVN#73178249）を公開した。同ソフトに対し、XML外部実体参照（XXE）に関する脆弱性が存在すると報告している。

　「申請用総合ソフト」は、申請書作成から電子署名の付与、送信、電子公文書の取得、データ管理の全ての操作を行なうことができ、かつ登記・供託オンライン申請システムで取り扱う手続きの全てを行なうことができるソフト。今回報告された脆弱性「CVE-2023-27527」の深刻度は、CVSS 3.0のスコアで「2.5」。細工されたXMLファイルを当該製品に読み込ませることにより、システム内の任意のファイルを読み取られる恐れがある。

　法務省によると、本脆弱性は3月31日に公開されたv8.0Aで修正済み。執筆現在は、4月3日にリリースされたv8.0Bがダウンロード可能であり、最新版へのアップデートが推奨されている。なお、申請用総合ソフトのバージョン情報は［ヘルプ］から［バージョン情報］で確認できる。