futomi's CGI Cafeの「高機能アクセス解析CGI」にXSSの脆弱性が存在。最新版で対処した。
情報処理推進機構(IPA)セキュリティセンターとJPCERT コーディネーションセンターは3月16日、Weアクセス解析用CGI「高機能アクセス解析CGI」にクロスサイトスクリプティング(XSS)の脆弱性が存在するとして、JVN(Japan Vulnerability Notes)に情報を公表した。
脆弱性は、高機能アクセス解析CGI Standard 版 Ver 3.8.1以前に存在する。攻撃者に悪用されると、ユーザーのWebブラウザ上で任意のスクリプトを実行される可能性がある。
提供元のfutomi's CGI Cafeは、2008年12月にリリースしたVer 4.0.2でこの脆弱性に対処済み。同バージョンではセッションIDが推測される可能性のある脆弱性も解決しており、ユーザーに早期のアップデート適用を呼び掛けている。
Copyright © ITmedia, Inc. All Rights Reserved.