オープンソースのeラーニングシステムにXSSなどの脆弱性――IPA

オープンソースのeラーニングCMSアプリケーション「ATutor」および「ACollab」において、クロスサイトスクリプティング（XSS）やSQLインジェクションに関する脆弱性が発見された。

[ITmedia]

　情報処理推進機構セキュリティセンター（IPA）およびJPCERTコーディネーションセンター（JPCERT/CC）は7月5日、脆弱性情報サイトJP Vendor Status Notes（JVN）において、オープンソースのeラーニングアプリケーション「ATutor」などに脆弱性があることを明らかにした。この脆弱性を突かれると、情報漏えいやなりすましを許してしまう危険性がある。

　脆弱性が発見されたのは、eラーニング用のCMS（コンテンツ管理システム）ATutorおよびATutorのアドオンとして動作するコラボレーションソフト「ACollab」。

　ATutorでは、1.5.2以前のバージョンにおいて、クロスサイトスクリプティング（XSS）の脆弱性が存在し、Webブラウザ上で悪意のあるスクリプトを実行されるとユーザー認証情報などが漏えいする恐れがある。これを回避するには、最新のバージョン1.5.3にアップグレードすること。

　またACollabでは、1.2以前のバージョンでSQLインジェクションに関する脆弱性が存在し、悪意のある第三者によってリモートから不正なSQLコマンドを入力されると、データベースのデータの改ざんや盗難などが可能となり、また認証を回避してなりすましが行われる恐れがある。ACollabはバージョン1.2で開発・メンテナンスが終了しており、最新のATutor 1.5.3でACollabと同等の機能が実装されているため、IPA、JPCERT/CCでは回避策としてATutor 1.5.3に移行することを推奨している。