2022.01.25
情報通信工学科の九重一斗さんが、WordPress用プラグインWHMCS Bridge における格納型クロスサイトスクリプティングの脆弱性を発見しました。
発見された脆弱性は、CVE Numbering Authority (CNA)であるWordfence社に報告され、vulnerability advisories(脆弱性注意情報)においてCVE番号とともに公知になりました。
*脆弱性とは
コンピューターネットワークにおける安全上の欠陥。オペレーティングシステムやアプリケーションソフトのバグ、開発者が予期しなかった利用方法などにより、悪意のある第三者によってコンピューターウイルスに感染させられたり、不正アクセスの被害にあったりするおそれがあること。
*脆弱性番号とは
脆弱性を発見し報告すると脆弱性番号(CVE番号、JVN番号)が割り振られ、その脆弱性が修正されると発見者名とともに公表されます。脆弱性番号は半永久的に残る発見者の業績になります。
*CVE Numbering Authorityとは
脆弱性に対してCVE番号を割り当てることができる組織。
*CVSSスコアとは
CVSS(Common Vulnerability Scoring System) とは共通脆弱性評価システムと呼ばれ、基本評価基準、現状評価基準、環境評価基準の3つの基準でIT製品のセキュリティ脆弱性の深刻さを評価するもの。0.0~10.0の範囲でスコアが表示され、数字が高いほど緊急度が高い。