情報処理推進機構

情報処理推進機構(IPA)のセキュリティセンターとJPCERTコーディネーションセンター(JPCERT/CC)は7月9日、ネットワーク監視およびグラフ生成用Webアプリケーション「Cacti」におけるクロスサイトスクリプティングおよびクロスサイトリクエストフォージェリの脆弱性情報を、JVN(Japan Vulnerability Notes)において公表した。

Cactiはネットワーク機器などから取得したデータをデータベースに蓄積しグラフ化するためのWebアプリケーション。Cactiには、settings.phpおよびgraph_view.phpのパラメータの処理に起因するクロスサイトスクリプティングの脆弱性が存在。ログインした状態で細工されたページにアクセスした場合、ユーザのWebブラウザ上で任意のスクリプトを実行される可能性がある。また、クロスサイトリクエストフォージェリの脆弱性も存在し、当該製品にログインした状態のユーザが、細工されたページにアクセスした場合、意図しない操作をさせられる可能性がある。

IPAは、開発者が提供する情報をもとに、最新版へアップデートするよう注意を呼びかけている。