カテゴリー
未分類

RNOTE

rNote には、クロスサイトスクリプティングの脆弱性が存在します。

ベンダ情報、製品情報

開発者:Woody Rinn

届出のあったソフトウエア製品名およびバージョン:rNote 0.9.7.5

詳細情報

Woody Rinn が提供する rNote <http://rinn.e-site.jp/rnote/> は Blog 作成用ソフトウエアです。
rNote には、クロスサイトスクリプティング (CWE-79) の脆弱性が存在します。

想定される影響

当該製品を使用しているサイトにアクセスしたユーザのウェブブラウザ上で、任意のスクリプトを実行される可能性があります。

対策方法

rNote 0.9.7.5 の使用中止を検討してください
製品開発者と連絡が取れないため、本脆弱性の対策状況は不明です。

ベンダの見解

なし

JPCERT/CCからの補足情報

この案件は、2021年1月22日に開催された公表判定委員会による判定にて、平成29年経済産業省告示第19号および、情報セキュリティ早期警戒パートナーシップガイドラインにおける、次のすべての条件を満たすことを確認したため、JVN で公表することが適当と判定されました。IPA は、その判定を踏まえ、脆弱性情報を公表すると判断しました。

  1. 当該案件が調整不能であること
    製品開発者への連絡方法として、以下の連絡を実施したが一定期間 (6カ月以上) 応答がないため、社会通念上調整不能であると判断。

    – メールでの連絡 (2006/11/20~2011/08/25:4回) に対して応答が無い
    – 「連絡不能開発者一覧(開発者名)」の連絡よびかけ (2011/12/16) に対して応答が無い
    – 「連絡不能開発者一覧(補足情報)」の情報提供依頼 (2012/03/16) に対して応答が無い
    – メールでの判定手続きの案内の連絡 (2020/12/21) に対して応答が無い
  2. 脆弱性の存在が認められると判断できること
    当該ソフトウエア製品は、ユーザのウェブブラウザ上で、任意のスクリプトが実行されることから (※)、完全性が侵害される。このため、当該ソフトウエア製品に脆弱性が存在すると判断。
    ※ 末尾に記載の「検証情報」を参照のこと。
  3. IPA が公表しない限り、当該脆弱性情報を知り得ない製品利用者がいるおそれがあること
    製品開発者による脆弱性対策情報は公表されていない、かつ製品開発者が全ての製品利用者を把握していることを確認できないため、脆弱性情報を知り得ない製品利用者がいるおそれがあると判断。
  4. 製品開発者や製品利用者の状況等を総合的に勘案して、公表が適当でないと判断する理由・事情がないこと
    製品開発者の取組みや製品利用者の状況を鑑みて、公表によって社会的混乱を招くなど公表することが適切でないと判断する明確な理由・事情がないと判断。

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です