公開日:2015/09/03 最終更新日:2015/09/03

JVN#24692261
hitSuji (rktSNS2) におけるクロスサイトスクリプティングの脆弱性

概要

hitSuji (rktSNS2) には、クロスサイトスクリプティングの脆弱性が存在します。

ベンダ情報、製品情報

開発者:rakutoネット

届出のあったソフトウエア製品名およびバージョン:hitSuji (rktSNS2) 0.2.2b

詳細情報

rakutoネットが提供する hitSuji (rktSNS2) は、オープンソースの SNS 構築ソフトウエアです。hitSuji には、クロスサイトスクリプティングの脆弱性が存在します。

想定される影響

ユーザのウェブブラウザ上で任意のスクリプトを実行される可能性があります。

対策方法

hitSuji (rktSNS2) 0.2.2b の使用中止を検討してください
製品開発者と連絡が取れないため、本脆弱性の対策状況は不明です。

ベンダの見解

なし

JPCERT/CCからの補足情報

この案件は、2015年5月26日に開催された公表判定委員会による審議にて、平成26年経済産業省告示第110号および、情報セキュリティ早期警戒パートナーシップガイドラインにおける、次のすべての条件を満たすことを確認したため、JVN で公表することが適当と判定されたものです。

  1. 当該案件が連絡不能であること
    製品開発者への連絡方法として、以下の連絡を実施したが一定期間 (9カ月以上) 応答がないため、社会通念上連絡不能であると判断。

    - メールでの連絡 (2008/10/27~2010/03/15:6回) に対して応答が無い
    - メール連絡した結果(2011/04/19)メールアドレスが無効となっていた
    - 「連絡不能開発者一覧(開発者名)」の連絡よびかけ (2011/09/29) に対して応答が無い
    - 「連絡不能開発者一覧(補足情報)」の情報提供依頼 (2011/12/16) に対して応答が無い
    - 上記とは異なる連絡先へメールでの審査手続きの案内の連絡 (2015/04/28) に対して応答が無い

  2. 脆弱性が存在すると判断できること
    当該ソフトウエア製品は、製品利用者のウェブブラウザ上で任意のスクリプトが実行されることから (※)、完全性が侵害される。このため、当該ソフトウエア製品に脆弱性が存在すると判断。
    ※ 末尾に記載の「検証情報」を参照のこと。

  3. 公表しない限り、当該脆弱性情報を知り得ない製品利用者がいるおそれがあること
    製品開発者が公表している利用規約等によると、当該ソフトウエア製品は複製・改変・頒布が可能であり、ダウンロードして利用可能な製品である。そのため、製品開発者が当該ソフトウエア製品の製品利用者全員を把握できず、確実に通知することは困難であり、公表しない限り当該脆弱性情報を知り得ない製品利用者がいるおそれがあると判断。

  4. 公表が不適切であると判断する理由・事情がないこと
    製品開発者の取組みや製品利用者の状況を鑑みて、公表によって社会的混乱を招くなどの公表することが不適切であると判断する明確な理由・事情がないと判断。

JPCERT/CCによる脆弱性分析結果

2015.09.03における脆弱性分析結果(CVSS Base Metrics)

CVSSとは

評価尺度 評価値 説明
攻撃元区分(AV) ローカル (L) 隣接 (A) ネットワーク (N) ネットワーク経由でリモートから攻撃可能
攻撃条件の複雑さ(AC) 高 (H) 中 (M) 低 (L) 攻撃成立に何らかの条件が必要
攻撃前の認証要否(Au) 複数 (M) 単一 (S) 不要 (N) 認証は不要
機密性への影響(C) なし (N) 部分的 (P) 全面的 (C) 情報は漏えいしない
完全性への影響(I) なし (N) 部分的 (P) 全面的 (C) 情報の正確さや完全さが部分的に損なわれる
可用性への影響(A) なし (N) 部分的 (P) 全面的 (C) システムの使用は阻害されない

Base Score:4.3

検証情報

IPAおよび、JPCERT/CCにて、届出で提供された情報をもとに、脆弱性の再現性を確認しました。

実施日

  • 2014年8月18日
検証環境(サーバ)
  • Kali Linux 1.0.6
  • apache 2.2.22 PHP 5.4.4 MySQL 5.5.35
  • hitSuji (rktSNS2) 0.2.2b
検証環境(クライアント)
  • Microsoft Windows 7 Professional SP1
  • Microsoft Internet Explorer 8.0.7601.17514 XSS フィルター有効
  • Google Chrome 34.0.1847.116m                XSS フィルター無効
  • Mozilla Firefox 30.0
  • Opera 20.0.1387.91
検証結果
  • 次のウェブブラウザで、hitSuji (rktSNS2) においてスクリプトが実行されることを確認
    Microsoft Internet Explorer 8.0.7601.17514 XSS フィルター有効
    Google Chrome 34.0.1847.116m                XSS フィルター無効
    Mozilla Firefox 30.0

関連文書
JPCERT 緊急報告  
JPCERT REPORT  
CERT Advisory  
CPNI Advisory  
TRnotes  
CVE CVE-2015-2986
JVN iPedia JVNDB-2015-000302