情報処理推進機構 |
情報処理推進機構(IPA)のセキュリティセンターおよびJPCERTコーディネーションセンター(JPCERT/CC)は6月18日、Ruby on Rails用ライブラリ「Paperclip」におけるクロスサイト・スクリプティングの脆弱性情報を、JVN(Japan Vulnerability Notes) において公表した。
thoughtbotが提供するPaperclipは、Ruby on Railsでファイルをアップロードするためのライブラリ。今回、IPAらはPaperclipに、格納型のクロスサイトスクリプティング(CWE-79)の脆弱性が存在することを公表した。影響を受けるシステムは、Paperclip 4.2.1およびそれ以前のバージョン。ユーザーのWebブラウザ上で任意のスクリプトを実行される可能性がある。
IPAは、開発者が提供する情報をもとに、最新版へアップデートするよう注意を呼びかけている。