Youtube ScriptにSQLインジェクションの脆弱性が報告された。悪用されると攻撃者が任意のSQLクエリを実行することが可能になり、重要な情報が流出する恐れがあるという。
仏FrSIRTやSecuniaのアドバイザリーによると、脆弱性は「msg.php」スクリプトの入力認証エラーに起因する。「id」の値への入力情報が、SQLクエリで使われる前に適切にチェックされず、攻撃者がこれを悪用すと任意のSQLコードを挿入してSQLクエリを操作することが可能になる。
危険度は、Secuniaが5段階で3番目の「Moderately critical」、FrSIRTが4段階で下から2番目の「Moderate Risk」としている。
脆弱性はYoutube Scriptに存在し、公式パッチの存在は確認されていない。Secuniaでは解決策として、ソースコードを編集し、入力情報が適切にチェックされるようにすることを挙げている。
Copyright © ITmedia, Inc. All Rights Reserved.