富士通の施設情報管理システム製品「e-Pares」に、不正操作につながる複数の脆弱性が見つかった。
情報処理推進機構(IPA)とJPCERT コーディネーションセンター、富士通九州システムズは6月2日、富士通の施設情報管理システム製品「e-Pares」に複数の脆弱性が見つかったとして、対策の実施を呼び掛けた。
富士通九州システムズによると、見つかった脆弱性は「クロスサイトスクリプティング(XSS)」、「クロスサイトリクエストフォージェリ(CSRF)」、「セッション固定」の3種類という。悪用された場合、第三者が正規ユーザーになりすましてシステムを操作できてしまう。その結果、情報の改ざんや漏えい、不正利用などにつながる恐れがある。
製品のバージョンによって存在する脆弱性が異なる。CSRFはe-Pares V01のL01、L03、L10、L20、L30、L40の各バージョンに、セッション固定は同L01、L03、L10、L20、L30に、XSSは同L01のみに存在する。富士通九州システムズはアップデートモジュールをユーザーに提供しており、早期の適用を呼び掛けている。
企業向け情報を集約した「ITmedia エンタープライズ」も併せてチェック
Copyright © ITmedia, Inc. All Rights Reserved.