JVN#11438679
影舞におけるクロスサイトリクエストフォージェリの脆弱性
影舞には、クロスサイトリクエストフォージェリの脆弱性が存在します。
開発者:daifukuya.com
届出のあったソフトウエア製品名およびバージョン:影舞
daifukuya.com が提供する影舞 <http://www.daifukuya.com/kagemai/> は、開発チーム内でソフトウエアのバグの情報を共有するバグトラッキングシステムです。
影舞には、当該製品にログインした状態の管理者権限を持つユーザが、細工されたページにアクセスした場合、意図しない操作をさせられるクロスサイトリクエストフォージェリの脆弱性 (CWE-352) が存在します。
当該製品にログインした状態の管理者権限を持つユーザが、細工されたページにアクセスした場合、意図しない操作をさせられる可能性があります。
影舞 0.8.8 の使用中止を検討してください
製品開発者と連絡が取れないため、本脆弱性の対策状況は不明です。
なし
この案件は、2021年1月22日に開催された公表判定委員会による判定にて、平成29年経済産業省告示第19号および、情報セキュリティ早期警戒パートナーシップガイドラインにおける、次のすべての条件を満たすことを確認したため、JVN で公表することが適当と判定されました。IPA は、その判定を踏まえ、脆弱性情報を公表すると判断しました。
- 当該案件が調整不能であること
製品開発者への連絡方法として、以下の連絡を実施したが一定期間 (6カ月以上) 応答がないため、社会通念上調整不能であると判断。
- メールでの連絡 (2014/07/24~2014/12/02:4回) に対して応答が無い
- 「連絡不能開発者一覧(開発者名)」の連絡よびかけ (2014/12/19) に対して応答が無い
- 「連絡不能開発者一覧(補足情報)」の情報提供依頼 (2015/06/26) に対して応答が無い
- メールでの判定手続きの案内の連絡 (2020/12/21) に対して応答が無い - 脆弱性の存在が認められると判断できること
当該ソフトウエア製品は、製品管理者が細工されたページにアクセスした場合、意図せず当該製品の設定変更などをさせられることから (※)、完全性が侵害される。このため、当該ソフトウエア製品に脆弱性が存在すると判断。
※ 末尾に記載の「検証情報」を参照のこと。 - IPA が公表しない限り、当該脆弱性情報を知り得ない製品利用者がいるおそれがあること
製品開発者による脆弱性対策情報は公表されていない、かつ製品開発者が全ての製品利用者を把握していることを確認できないため、脆弱性情報を知り得ない製品利用者がいるおそれがあると判断。 - 製品開発者や製品利用者の状況等を総合的に勘案して、公表が適当でないと判断する理由・事情がないこと
製品開発者の取組みや製品利用者の状況を鑑みて、公表によって社会的混乱を招くなど公表することが適切でないと判断する明確な理由・事情がないと判断。
検証情報
IPA にて、届出で提供された情報をもとに、脆弱性の再現を確認しました。
実施日
・2020年6月17日
検証環境(サーバ・製品バージョン0.8.8)
・CentOS Linux 7.6.180
・Apache 2.4.6
・Ruby 1.8.7
・OpenSSL 0.9.8y
・影舞 0.8.8
検証環境(クライアント)
・Microsoft Windows 10 Pro (64-bit) 1909/18363.900
・Mozilla Firefox 77.0.0(64bit)
検証結果
・当該ソフトウエア製品にログインしている利用者の権限で、意図しない操作が実行されることを確認
(影舞 0.8.8)
| JPCERT 緊急報告 |
|
| JPCERT REPORT |
|
| CERT Advisory |
|
| CPNI Advisory |
|
| TRnotes |
|
| CVE |
CVE-2021-20687 |
| JVN iPedia |
JVNDB-2021-000903 |
