脆弱性体験学習ツール「AppGoat」で任意のコードが実行されてしまうなどの複数の脆弱性が報告され、IPAが修正版へのアップデートを呼び掛けている
情報処理推進機構(IPA)は2月9日、同機構が提供している脆弱性体験学習ツール「AppGoat」に4件の脆弱性が見つかったとして、修正版を新たに公開した。ユーザーにアップデートを呼び掛けている。
見つかった脆弱性は、AppGoat V3.0.0およびそれ以前に存在する。いずれも悪用された場合に、ユーザーの意図しない操作や任意のコードを実行されるなどの恐れがある。各脆弱性の概要は以下の通り。
JVN番号 | 脆弱性 | 想定される影響 | CVSS v3による評価値(最大値10.0) |
---|---|---|---|
71666779 | 任意のコードが実行可能 | 細工されたWebページにアクセスすることで、任意のコードを実行される恐れ | 6.3 |
87662835 | DNS リバインディング | 細工されたWebページにアクセスすることで、任意のコードを実行される恐れ | 6.3 |
88176589 | 認証不備 | 遠隔の第三者によって当該製品上で任意の操作を実行される恐れ | 7.3 |
39008927 | クロスサイトリクエストフォージェリ(CSRF) | ログイン状態のユーザーが細工されたページにアクセスした場合、意図しない操作をさせられる恐れ | 5.0 |
これらの脆弱性を修正した最新版は、AppGoat V3.0.1となる。IPAではAppGoat V2.0およびV3.0のユーザーに使用停止を呼び掛け、引き続き使用する場合は、最新版を再度ダウロードしてほしいとしている。
Copyright © ITmedia, Inc. All Rights Reserved.