yoyaku_v41 における OSコマンドインジェクションの脆弱性

現在位置

English Edition

LAC Advisory No.102
yoyaku_v41 における OSコマンドインジェクションの脆弱性

Problem first discovered on:Wed, 05 Apr 2009
Published on: Fri, 18 Sep 2009

脅威度:
高

概要:
株式会社ディーアイシーが提供する yoyaku_v41 には、OSコマンドインジェクションの脆弱性が存在します。

詳細:
株式会社ディーアイシーが提供する yoyaku_v41 は、施設の予約管理を行うためのソフトウェアです。

yoyaku_v41 には、OSコマンドインジェクションの脆弱性が存在します。この問題を悪用されることで、yoyaku_v41 を設置しているサーバ上で、ウェブサーバの権限で任意の OSコマンドを実行される可能性があります。

スクリーンショット

影響を受けるバージョン:
yoyaku_v41 Version:1.10 以前

対策:
開発者が提供する対策済みバージョン（Version:1.20 以降）へアップデートしてください。

発見者:
山崎圭吾（LAC）

謝辞:
本問題は、情報処理推進機構（IPA）および JPCERT/CC による『情報システム等の脆弱性関連情報の届出制度』に従い届出を行いました。
http://jvn.jp/jp/JVN05857667/
http://jvndb.jvn.jp/ja/contents/2009/JVNDB-2009-000060.html

免責:
このアドバイザリで示される情報は予告なしに改定されることがあり、かつ、あるがままの形で提供されます。この情報を適用し生起される結果のリスクは利用者が負うものとし、株式会社ラックは一切の責任を負わないものとします。

再配布について:
このアドバイザリの再配布は、下記条件を満たす限り自由です。

発行元URLとして、以下のURLを明記する。
http://www.lac.co.jp/info/advisory/102.html