蔵書管理ソフト「私本管理 Plus」に相対パストラバーサルの脆弱性、任意コード実行の恐れ

JVNの脆弱性レポート「JVN#17434995」

　脆弱性ポータルサイト「JVN」は9月27日、「私本管理 Plus」に相対パストラバーサルの脆弱性（CVE-2023-43825）が存在することを明らかにした。

　「私本管理 Plus」は、蔵書を管理するためのデータベースソフト。バーコードリーダーに対応しており、本のISBNを読み取って登録できる。登録したデータは検索したり、CSV形式でインポート・エクスポートが可能。データベース項目のカスタマイズも行えるので、書籍以外のデータを管理することもできる。

　JVNの脆弱性レポート「JVN#17434995」によると、細工が施された「私本管理 Plus」のバックアップファイルをユーザーにインポートさせることで、任意のコードを実行できる可能性があるとのこと。

　影響範囲は「私本管理Plus」v9.0.3およびそれ以前のバージョンで、「CVSS v3」の基本値は「5.3」、「CVSS v2」の基本値は「6.8」。

　作者によると、23日付けで対策版のv9.1.0がリリース済み。利用中の場合は折を見てアップデートしておきたい。