独立行政法人 情報処理推進機構セキュリティセンター(IPA/ISEC)および一般社団法人 JPCERT コーディネーションセンター(JPCERT/CC)は9月11日、ディーアイシーが提供する予約管理用ソフト「yoyaku_v41」にOSコマンドインジェクションの脆弱性が存在すると公表した。なお、この脆弱性は7月31日に公開されたものとは別の問題。
脆弱性が存在するのはyoyaku_v41のバージョン1.10。yoyaku_v41を設置しているサーバ上で、ウェブサーバの権限で任意のOSコマンドを実行される可能性がある。
ディーアイシーはこの脆弱性を解消する最新版を公開しており、アップデートするよう呼びかけている。なお、JPCERT/CCによる脆弱性分析結果では、攻撃経路、認証レベル、攻撃成立に必要なユーザーの関与について、脅威レベルを「高」に、攻撃の難易度についてはある程度の専門的知識や運が必要であるとして「中〜高」としている。
ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)
セキュリティリーダー向けガイド--なぜ今XDRとSIEMの違いを理解することが重要なのか
時代遅れのアーキテクチャと手動運用、レガシーSD-WANを次世代SD-WANへ移行すべき理由
Snowflakeを例に徹底解説!迅速&柔軟な企業経営に欠かせない、データ統合基盤活用のポイント
マンガで解説、「WAF」活用が脆弱性への応急処置に効果的である理由とは?
生成 AI リスクにも対応、調査から考察する Web ブラウザを主体としたゼロトラストセキュリティ
所属する組織のデータ活用状況はどの段階にありますか?
エンタープライズコンピューティングの最前線を配信
ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET
Japanをご覧ください。
