Rapid7は7月27日(米国時間)、「Multiple Open Source Web App Vulnerabilities Fixed|Rapid7 Blog」において、3つのオープンソース・ソフトウェア(OSS)に影響を与える9つの脆弱性に関する情報を公開した。対象のOSSはEspoCRM、Pimcore、Akauntingの3つで、対象の脆弱性を悪用されるとリモートからの任意のコード実行や認証のバイパス、サービス拒否(DoS)、パスワードリセットなどの被害を受けるおそれがあるという。

  • Multiple Open Source Web App Vulnerabilities Fixed|Rapid7 Blog

    Multiple Open Source Web App Vulnerabilities Fixed | Rapid7 Blog

報告されている9つの脆弱性は以下のとおり。

  • CVE-2021-3539: EspoCRM v6.1.6における永続的クロスサイトスクリプティング(XSS)の脆弱性
  • CVE-2021-31867: Pimcore Customer Data Framework v3.0.におけるSQLインジェクションの脆弱性
  • CVE-2021-31869: Pimcore AdminBundle v6.8.0におけるSQLインジェクションの脆弱性
  • CVE-2021-36800:Akaunting v2.1.12におけるOSコマンドインジェクションの脆弱性
  • CVE-2021-36801:Akaunting v2.1.12における認証バイパスの脆弱性
  • CVE-2021-36802:Akaunting v2.1.12における、ユーザー制御のlocale変数によるサービス拒否(DoS)
  • CVE-2021-36803:Akaunting v2.1.12における、アバターアップロード中の永続的XSSの脆弱性
  • CVE-2021-36804:Akaunting v2.1.12における弱いパスワードのリセット
  • CVE-2021-36805:Akaunting v2.1.12の請求書フッターにおける永続XSSの脆弱性

これらのうち、CVE-2021-36800とCVE-2021-36801は、CVSS v3のベーススコアがそれぞれ8.7と8.5で、深刻度が「高」に分類されており特に注意が必要。CVE-2021-36800はPHPスクリプト内で発見された脆弱性で、アプリケーションに対して任意のPHPコードを送信してWebサーバ上で実行することができるというもの。CVE-2021-36801は、自分のアカウントが関連付けられている会社を変更することで、本来見ることができない会社の情報を表示・変更することを可能にしてしまう。

9つのいずれの脆弱性も、開発元より修正版がリリースされており、最新版にアップデートすることで問題を解消できる。Rapid7によれば、すべてのOSSにおいて、脆弱性の報告から1日以内に修正が行われたという。