web2py のソースコードに含まれている admin 開発ツールにはオープンリダイレクト (CWE-601) の脆弱性が存在します。 開発者によると、当該ツールの本番環境での使用やインターネット上での公開は推奨していないとのことです。 この脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方が IPA に報告し、JPCERT/CC が開発者との調整を行いました。 報告者: 株式会社エーアイセキュリティラボ 吉開拓人 氏 CVSS v3 による深刻度 基本値: 4.7 (警告) [IPA値] 攻撃元区分: ネットワーク 攻撃条件の複雑さ: 低 攻撃に必要な特権レベル: 不要 利用者の関与: 要 影響の想定範囲: 変更あり 機密性への影響(C): なし 完全性への影響(I): 低 可用性への影響(A): なし CVSS v2 による深刻度 基本値: 2.6 (注意) [IP

pgAdmin Project が提供する pgAdmin 4 には、オープンリダイレクト (CWE-601) の脆弱性が存在します。 この脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方が IPA に報告し、JPCERT/CC が開発者との調整を行いました。 報告者: 株式会社ブロードバンドセキュリティ 志賀　拓馬 氏、三井物産セキュアディレクション株式会社 東内 裕二 氏 CVSS v3 による深刻度 基本値: 4.7 (警告) [IPA値] 攻撃元区分: ネットワーク 攻撃条件の複雑さ: 低 攻撃に必要な特権レベル: 不要 利用者の関与: 要 影響の想定範囲: 変更あり 機密性への影響(C): なし 完全性への影響(I): 低 可用性への影響(A): なし CVSS v2 による深刻度 基本値: 4.3 (警告) [IPA値] 攻撃元区分: ネットワーク 攻撃条

株式会社WESEEK が提供する GROWI には、アクセス制限不備の脆弱性 (CWE-284) が存在します。 この脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方が IPA に報告し、JPCERT/CC が開発者との調整を行いました。 報告者: 三井物産セキュアディレクション株式会社 山本健太 氏 CVSS v3 による深刻度 基本値: 4.3 (警告) [IPA値] 攻撃元区分: ネットワーク 攻撃条件の複雑さ: 低 攻撃に必要な特権レベル: 低 利用者の関与: 不要 影響の想定範囲: 変更なし 機密性への影響(C): 低 完全性への影響(I): なし 可用性への影響(A): なし CVSS v2 による深刻度 基本値: 4.0 (警告) [IPA値] 攻撃元区分: ネットワーク 攻撃条件の複雑さ: 低 攻撃前の認証要否: 単一 機密性への影響(C): 部分的

株式会社イーシーキューブが提供する EC-CUBE には、次の複数の脆弱性が存在します。 ・ディレクトリトラバーサル (CWE-22) - CVE-2022-40199 ・DOM ベースのクロスサイトスクリプティング (CWE-79) - CVE-2022-38975 この脆弱性情報は、次の方が開発者に報告し、製品利用者への周知を目的に、開発者が JPCERT/CC に報告し、JPCERT/CC が開発者との調整を行いました。 報告者: 株式会社サイバーディフェンス研究所 岩崎 徳明 氏 CVSS v3 による深刻度 基本値: 2.7 (注意) [IPA値] 攻撃元区分: ネットワーク 攻撃条件の複雑さ: 低 攻撃に必要な特権レベル: 高 利用者の関与: 不要 影響の想定範囲: 変更なし 機密性への影響(C): 低 完全性への影響(I): なし 可用性への影響(A): なし CVSS v2

株式会社イーシーキューブが提供する EC-CUBE 用プラグイン「商品画像一括アップロードプラグイン」には、アップロードファイルの検証不備の脆弱性(CWE-20)が存在します。当該プラグインは画像ファイルのアップロードを目的とするものですが、本脆弱性を悪用することにより、画像ファイル以外の任意のファイルをアップロードすることが可能です。 この脆弱性情報は、製品利用者への周知を目的に、開発者が JPCERT/CC に報告し、JPCERT/CC が開発者との調整を行いました。 CVSS v3 による深刻度 基本値: 6.3 (警告) [IPA値] 攻撃元区分: ネットワーク 攻撃条件の複雑さ: 低 攻撃に必要な特権レベル: 不要 利用者の関与: 要 影響の想定範囲: 変更なし 機密性への影響(C): 低 完全性への影響(I): 低 可用性への影響(A): 低 CVSS v2 による深刻度 基本

Twinkle Toes Software が提供する Booked には、オープンリダイレクト (CWE-601) の脆弱性が存在します。 この脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方が IPA に報告し、JPCERT/CC が開発者との調整を行いました。 報告者: 三井物産セキュアディレクション株式会社 東内裕二 氏 CVSS v3 による深刻度 基本値: 4.7 (警告) [IPA値] 攻撃元区分: ネットワーク 攻撃条件の複雑さ: 低 攻撃に必要な特権レベル: 不要 利用者の関与: 要 影響の想定範囲: 変更あり 機密性への影響(C): なし 完全性への影響(I): 低 可用性への影響(A): なし CVSS v2 による深刻度 基本値: 2.6 (注意) [IPA値] 攻撃元区分: ネットワーク 攻撃条件の複雑さ: 高 攻撃前の認証要否: 不要 機密

web2py には、オープンリダイレクト (CWE-601) の脆弱性が存在します。 この脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方が IPA に報告し、JPCERT/CC が開発者との調整を行いました。 報告者: 三井物産セキュアディレクション株式会社 東内裕二 氏 CVSS v3 による深刻度 基本値: 4.7 (警告) [IPA値] 攻撃元区分: ネットワーク 攻撃条件の複雑さ: 低 攻撃に必要な特権レベル: 不要 利用者の関与: 要 影響の想定範囲: 変更あり 機密性への影響(C): なし 完全性への影響(I): 低 可用性への影響(A): なし CVSS v2 による深刻度 基本値: 2.6 (注意) [IPA値] 攻撃元区分: ネットワーク 攻撃条件の複雑さ: 高 攻撃前の認証要否: 不要 機密性への影響(C): なし 完全性への影響(I): 部分的

株式会社キングジムが提供するパスワードマネージャー「ミルパス」PW10 / PW20 には、機微な情報を暗号化していない (CWE-311) 脆弱性が存在します。 この脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方が IPA に報告し、JPCERT/CC が開発者との調整を行いました。 報告者: 三井物産セキュアディレクション株式会社 塚本 泰三 氏 CVSS v3 による深刻度 基本値: 4.6 (警告) [IPA値] 攻撃元区分: 物理 攻撃条件の複雑さ: 低 攻撃に必要な特権レベル: 不要 利用者の関与: 不要 影響の想定範囲: 変更なし 機密性への影響(C): 高 完全性への影響(I): なし 可用性への影響(A): なし CVSS v2 による深刻度 基本値: 4.9 (警告) [IPA値] 攻撃元区分: ローカル 攻撃条件の複雑さ: 低 攻撃前の認証要否

CVSS v3 による深刻度 基本値: 6.1 (警告) [NVD値] 攻撃元区分: ネットワーク 攻撃条件の複雑さ: 低 攻撃に必要な特権レベル: 不要 利用者の関与: 要 影響の想定範囲: 変更あり 機密性への影響(C): 低 完全性への影響(I): 低 可用性への影響(A): なし CVSS v2 による深刻度 基本値: 5.8 (警告) [NVD値] 攻撃元区分: ネットワーク 攻撃条件の複雑さ: 中 攻撃前の認証要否: 不要 機密性への影響(C): 部分的 完全性への影響(I): 部分的 可用性への影響(A): なし

楽天株式会社が提供するスマートフォンアプリ「ラクマ」には、認証に関する情報が漏えいする脆弱性 (CWE-200) が存在します。 この脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方が IPA に報告し、JPCERT/CC が開発者との調整を行いました。 報告者: 三井物産セキュアディレクション株式会社 望月岳 氏 CVSS v3 による深刻度 基本値: 4.7 (警告) [IPA値] 攻撃元区分: ローカル 攻撃条件の複雑さ: 高 攻撃に必要な特権レベル: 不要 利用者の関与: 要 影響の想定範囲: 変更なし 機密性への影響(C): 高 完全性への影響(I): なし 可用性への影響(A): なし CVSS v2 による深刻度 基本値: 2.6 (注意) [IPA値] 攻撃元区分: ネットワーク 攻撃条件の複雑さ: 高 攻撃前の認証要否: 不要 機密性への影響(C):

株式会社ジモティーが提供する Android アプリ「ジモティー」には、外部サービスの　API キーがハードコードされている問題 (CWE-798) が存在します。 この脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方が　IPA に報告し、JPCERT/CC が開発者との調整を行いました。 報告者: 株式会社ラック 山根将司 氏 CVSS v3 による深刻度 基本値: 4.0 (警告) [IPA値] 攻撃元区分: ローカル 攻撃条件の複雑さ: 低 攻撃に必要な特権レベル: 不要 利用者の関与: 不要 影響の想定範囲: 変更なし 機密性への影響(C): 低 完全性への影響(I): なし 可用性への影響(A): なし CVSS v2 による深刻度 基本値: 2.1 (注意) [IPA値] 攻撃元区分: ローカル 攻撃条件の複雑さ: 低 攻撃前の認証要否: 不要 機密性への

Yappli で作成された Android アプリケーションにおける Custom URL Scheme の処理にアクセス制限不備の脆弱性 Yappli (ヤプリ) は、株式会社ヤプリが提供するスマートフォン用アプリケーション開発運用プラットフォームです。 Yappli で作成された Android アプリケーションには、Custom URL Scheme を使用して指定された URL を処理する機能が実装されています。 この機能には、細工された URL を処理することでアプリケーションの接続先が書き換えられてしまうアクセス制限不備 (CWE-939) の脆弱性が存在します。 この脆弱性情報は、次の方が製品開発者に直接報告し、製品開発者との調整を経て、製品利用者への周知を目的に JVN での公表に至りました。 報告者: RyotaK 氏

Nike, Inc. が提供するスマートフォンアプリ「Nike」には、Custom URL Scheme を使用してリクエストされた URL にアクセスする機能が実装されています。この機能には、任意のアプリからリクエストを受け取りアクセスを実行してしまう、アクセス制限不備の脆弱性 (CWE-939) が存在します。 CVSS v3 による深刻度 基本値: 4.3 (警告) [IPA値] 攻撃元区分: ネットワーク 攻撃条件の複雑さ: 低 攻撃に必要な特権レベル: 不要 利用者の関与: 要 影響の想定範囲: 変更なし 機密性への影響(C): なし 完全性への影響(I): 低 可用性への影響(A): なし CVSS v2 による深刻度 基本値: 4.3 (警告) [IPA値] 攻撃元区分: ネットワーク 攻撃条件の複雑さ: 中 攻撃前の認証要否: 不要 機密性への影響(C): なし 完全性への

Plone Foundation が提供する Plone には、オープンリダイレクト (CWE-601) の脆弱性が存在します。 この脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方が IPA に報告し、JPCERT/CC が開発者との調整を行いました。 報告者: 三井物産セキュアディレクション株式会社 東内 裕二 氏 CVSS v3 による深刻度 基本値: 4.7 (警告) [IPA値] 攻撃元区分: ネットワーク 攻撃条件の複雑さ: 低 攻撃に必要な特権レベル: 不要 利用者の関与: 要 影響の想定範囲: 変更あり 機密性への影響(C): なし 完全性への影響(I): 低 可用性への影響(A): なし CVSS v2 による深刻度 基本値: 4.3 (警告) [IPA値] 攻撃元区分: ネットワーク 攻撃条件の複雑さ: 中 攻撃前の認証要否: 不要 機密性への影響

日本トータルシステム株式会社が提供する GroupSession には、次の複数の脆弱性が存在します。 ・クロスサイトスクリプティング (CWE-79) - CVE-2021-20785 ・クロスサイトリクエストフォージェリ (CWE-352) - CVE-2021-20786 ・クロスサイトスクリプティング (CWE-79) - CVE-2021-20787 ・サーバサイドリクエストフォージェリ (CWE-918) - CVE-2021-20788 ・オープンリダイレクト (CWE-601) - CVE-2021-20789 CVE-2021-20785, CVE-2021-20786 これらの脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方が IPA に報告し、JPCERT/CC が開発者との調整を行いました。 報告者: 浅井　健 氏 CVE-2021-20787

Retty株式会社が提供するスマートフォンアプリ「Retty」には、次の複数の脆弱性が存在します。 ・Custom URL Scheme により当該アプリが起動され、指定された任意の URL にアクセスさせられる問題 (CWE-939) - CVE-2021-20747 ・外部サービスの API キーがハードコードされている問題 (CWE-798) - CVE-2021-20748 この脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方が IPA に報告し、JPCERT/CC が開発者との調整を行いました。 報告者: 株式会社ブロードバンドセキュリティ 佐藤竜 氏 CVSS v3 による深刻度 基本値: 4.0 (警告) [IPA値] 攻撃元区分: ローカル 攻撃条件の複雑さ: 低 攻撃に必要な特権レベル: 不要 利用者の関与: 不要 影響の想定範囲: 変更なし 機密性

voidtools が提供する Everything の HTTP サーバには、HTTP ヘッダインジェクション (CWE-644) の脆弱性が存在します。 この脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方が IPA に報告し、JPCERT/CC が開発者との調整を行いました。 報告者:草野　一彦 氏 CVSS v3 による深刻度 基本値: 6.1 (警告) [IPA値] 攻撃元区分: ネットワーク 攻撃条件の複雑さ: 低 攻撃に必要な特権レベル: 不要 利用者の関与: 要 影響の想定範囲: 変更あり 機密性への影響(C): 低 完全性への影響(I): 低 可用性への影響(A): なし CVSS v2 による深刻度 基本値: 5.8 (警告) [IPA値] 攻撃元区分: ネットワーク 攻撃条件の複雑さ: 中 攻撃前の認証要否: 不要 機密性への影響(C): 部分的

株式会社イーシーキューブが提供する EC-CUBE には、アクセス制限不備 (CWE-284) の脆弱性が存在します。 この脆弱性情報は、製品利用者への周知を目的に、開発者が JPCERT/CC に報告し、JPCERT/CC が開発者との調整を行いました。 CVSS v3 による深刻度 基本値: 7.5 (重要) [IPA値] 攻撃元区分: ネットワーク 攻撃条件の複雑さ: 低 攻撃に必要な特権レベル: 不要 利用者の関与: 不要 影響の想定範囲: 変更なし 機密性への影響(C): 高 完全性への影響(I): なし 可用性への影響(A): なし CVSS v2 による深刻度 基本値: 5.0 (警告) [IPA値] 攻撃元区分: ネットワーク 攻撃条件の複雑さ: 低 攻撃前の認証要否: 不要 機密性への影響(C): 部分的 完全性への影響(I): なし 可用性への影響(A): なし

WordPress 用プラグイン Software License Manager におけるクロスサイトリクエストフォージェリの脆弱性 Tips and Tricks HQ 社が提供する WordPress 用プラグイン Software License Manager には、クロスサイトリクエストフォージェリ (CWE-352) の脆弱性が存在します。 この脆弱性情報は、次の方が製品開発者に直接報告し、製品開発者との調整を経て、製品利用者への周知を目的に JVN での公表に至りました。 報告者：東京電機大学 情報通信工学科 暗号方式・暗号プロトコル研究室 德田紘健 氏

WordPress 用プラグイン WordPress Meta Data Filter & Taxonomies Filter におけるクロスサイトリクエストフォージェリの脆弱性 realmag777 が提供する WordPress 用プラグイン WordPress Meta Data Filter & Taxonomies Filter には、クロスサイトリクエストフォージェリ (CWE-352) の脆弱性が存在します。 この脆弱性情報は、次の方が製品開発者に直接報告し、製品開発者との調整を経て、製品利用者への周知を目的に JVN での公表に至りました。 報告者: 東京電機大学 情報通信工学科 暗号方式・暗号プロトコル研究室 西岡 諒真 氏