ニュース
ブログ作成ツール「BlognPlus」にSQLインジェクションの脆弱性:管理者権限奪取の可能性
対象になるのは、v2.5.4以前のバージョンのMySQL版およびPostgreSQL版。
IPA(情報処理推進機構)セキュリティセンターおよびJPCERTコーディネーションセンター(JPCERT/CC)は6月17日、R-ONEコンピューターが提供するブログ作成ツール「BlognPlus(ぶろぐん+)」にSQLインジェクションの脆弱性が発見されたとして、JVN(Japan Vulnerability Notes)に情報を公開した。
対象となるのは、バージョン2.5.4およびそれ以前のバージョンのMySQL版とPostgreSQL版。テキスト版はデータベースを使用しないため、影響は受けないという。この脆弱性を悪用すると、遠隔にいる第三者がBlognPlusで作成されたブログの管理者権限を取得できる可能性がある。
開発元のR-ONEコンピューターでは、この脆弱性を修正したバージョン2.5.5を公開しており、ユーザーにアップデートを呼びかけている。
関連記事
- 大規模SQLインジェクション攻撃、今度は中国語サイトが標的に
- SQLインジェクションワームが猛威、4000サイトが感染
- IPA、SQLインジェクションの簡易検出ツールを公開
- 日本のサイトを狙ったSQLインジェクション攻撃が急増
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.