独立行政法人情報処理推進機構 (IPA)からの情報
脆弱性識別番号:JVN#39008927
脆弱性タイトル:脆弱性体験学習ツール AppGoat におけるクロスサイトリクエストフォージェリの脆弱性
ステータス:該当製品あり
以下の情報は、製品開発者から JVN に提供されたものです。
■概要
弊機構で公開している「脆弱性体験学習ツール AppGoat ウェブアプリケーション用学習ツール」において、複数の脆弱性が存在することを確認いたしました。
継続して利用する場合は、最新版へのバージョンアップをお願いいたします。
■該当製品の確認方法
影響を受ける製品は以下の通りです。
製品名称:脆弱性体験学習ツール AppGoat ウェブアプリケーション用学習ツール
該当バージョン:V3.0.0以前
使用しているバージョンは、解凍先のフォルダ内の「変更履歴.txt」を確認してください。
変更履歴下方に記載されているバージョンが本ツールのバージョンです。
例えば、V2系がインストールされていれば、以下の記載があります。
V2.0.0 (2014/03/10)
なお、解凍先のフォルダ内に「変更履歴.txt」のファイルが存在しない場合、使用しているバージョンはV3.0.0です。
■脆弱性の説明
「脆弱性体験学習ツール AppGoat ウェブアプリケーション用学習ツール」において、クロスサイト・リクエスト・フォージェリの脆弱性が存在します。
■脆弱性がもたらす脅威
罠リンクを踏ませることで低確立で他の利用者の設定を変更する等の攻撃が可能となります。
■対策方法
修正版のV3.0.1をダウンロードして利用してください。
ダウンロード方法については以下のURLの手順にしたがってください。
・脆弱性体験学習ツール AppGoat ウェブアプリケーション用学習ツール(個人学習モード)
https://www.ipa.go.jp/security/vuln/appgoat/toolabust.html
・脆弱性体験学習ツール AppGoat ウェブアプリケーション用学習ツール(集合学習モード)
https://www.ipa.go.jp/security/vuln/appgoat/classroom.html
※ダウンロードするためにはIPA宛にメールによる申請が必要です。