NEWS（11/08/19　16:52）

　独立行政法人情報処理推進機構（IPA）および一般社団法人JPCERTコーディネーションセンター（JPCERT/CC）は16日、無償のグループウェア「アイポ」の旧バージョンに2件の脆弱性が存在することを公表した。

　1件目は、「アイポ」のv4.0.4.0より前のバージョンにクロスサイトリクエストフォージェリの脆弱性が存在するというもの。本脆弱性を悪用されると、「アイポ」の管理者が「アイポ」にログインした状態で悪意あるページを読み込んだ場合に、「アイポ」で管理している情報を改ざんされる恐れがある。なお、本脆弱性は「アイポ」v4.0.4.0で修正済み。

　2件目は、「アイポ」のv5.1.1より前のバージョンにSQLインジェクションの脆弱性が存在するというもの。本脆弱性を悪用されると、「アイポ」にログイン可能なユーザーによって、「アイポ」で管理している情報を不正に閲覧されたり、変更される恐れがある。なお、本脆弱性は「アイポ」v5.1.1で修正済み。

　現在「アイポ」の最新版は、6月14日に公開されたv6.0.1となっており、「アイポ」の公式サイトや窓の杜ライブラリからダウンロードできる。旧バージョンを利用しているユーザーは早急にバージョンアップしておこう。