IPAに脆弱性報告しようとしたけど面倒になってやめた話 | Technote

最近クラウドソーシングサービス上でWordPress関連の仕事の提案者の一覧でよく見かける人がいて、自身のホームページで体験版も公開していたのでダウンロードしてプログラムを見てみたところ PHPを動作させるソフトウェア（apacheやphp-fpmなど）で読み取り可能なサーバ上の任意のファイルをダウンロード可能 という結構危ない脆弱性を簡単に見つけてしまった。 DBの接続情報やFTPの接続情報など、かなり重要な情報が書かれた「wp-config.php」もダウンロードできてしまうほどのものである。 しかも特段難しい手順も必要なく、ただURLの後ろにパラメータを付与してアクセスするだけという、誰でもできてしまうような攻撃の容易さも兼ね備えていた。 2019/2/6 追記 脆弱性評価 https://jvndb.jvn.jp/cvss/ja/v3.html#CVSS:3.0/AV:N/AC:L

[ya--mada]

うーん？普通にIPAに報告でいい気がするけど、どうしても直してもらいたい時にはIPAに報告済みであることと合わせて本人に直接通知かな。

[tailtame]

内部告発に似た類の報告しづらさある…。知識ないとセキュリティホールも見つけられないよなぁ…。メルアドバレで、大昔にメルフォCGIに作者のメルアドへ送信とかひどいのあったなあと読んでたら懐かしみ思い出し