IPAセキュリティセンター(独立行政法人情報処理推進機構)とJPCERT/CC(一般社団法人JPCERTコーディネーションセンター)は、6月12日に、Androidアプリ「サイボウズ KUNAI for Android」におけるクロスサイト・スクリプティングの脆弱性および、防衛装備庁が提供する「電子入札・開札システム」のインストーラにおける実行ファイル呼び出しに関する脆弱性をJVN(Japan Vulnerability Notes)にて公表した。
サイボウズの提供する「サイボウズ KUNAI for Android」は、Androidデバイスからサイボウズ製品を使用するためのクライアントアプリケーションだ。本製品には、モバイルビューモードの処理に起因するクロスサイト・スクリプティング(CWE-79)の脆弱性が存在するという。
本製品にログインしているユーザのウェブブラウザ上で、任意のスクリプトを実行されてしまう可能性があるため、開発者が提供する情報をもとに、最新版へアップデートする必要がある。
次に、「電子入札・開札システム」は、防衛装備庁に電子入札を行う際に必要なソフトウェアだ。この製品のインストーラには、実行ファイルを呼び出す際の検索パスに問題があり、意図しない実行ファイルを呼び出してしまう脆弱性が存在するという。
細工された実行ファイルが何らかの方法で同一ディレクトリに配置されている場合に、脆弱性が悪用される可能性がある。新規に利用する際は、開発者が提供する情報をもとに、最新のインストーラを使用する必要がある。すでに当該インストーラにてこのシステムの応札者環境を構築済みの場合は、本脆弱性の影響を受けないそうだ。