情報通信工学科 卒業生 高木さんが発見したWordPress用プラグインWP Booking Systemの脆弱性が公知になりました

2017.05.24

本学卒業生の高木智さんは、在学中に、WordPress用プラグインWP Booking Systemの格納型のクロスサイトスクリプティング(CWE-79)脆弱性を発見しIPAへ報告しました。
 ベンダによる脆弱性修正が完了したため、発見された脆弱性は、CVE番号、JVN番号とともに、公知になりました。

<喜びのコメント>
 この度、私が学生時代に発見・報告したWordPressプラグインの脆弱性が、JVNにて公知にされました。この脆弱性はクロスサイトスクリプティングと呼ばれるもので、攻撃が成立すると、アカウントの乗っ取りや個人情報の搾取が発生します。
 大学での研究の一環でこのような脆弱性を発見し、情報漏洩等を未然に防ぐことができたことを、とても嬉しく感じています。
 現在は情報セキュリティを専門とする会社に就職し、セキュリティ技術者として日々奮闘しています。これからも、日本のセキュリティ向上に尽くしていく所存です。
 最後に、脆弱性の発見に際しご協力いただいた、齋藤教授、暗号研の方々にこの場をお借りして御礼申し上げます。

発見者
高木智さん(平成29年3月 工学部 情報通信工学科卒業)
所属研究室
暗号方式・暗号プロトコル研究室(齊藤泰一教授)
脆弱性番号
CVE-2017-2168, JVN#96165722
参考
http://jvn.jp/jp/JVN96165722/
http://jvndb.jvn.jp/ja/contents/2017/JVNDB-2017-000092.html
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-2168