IPA(独立行政法人情報処理推進機構)セキュリティセンターおよび有限責任中間法人JPCERTコーディネーションセンター(JPCERT/CC)は11日、情報共有ソーシャルウェア『SKIP』における脆弱性について公表した。
SKIPは、SKIユーザグループによって開発されているオープンソースの情報共有ソーシャルウェア。社内SNSとして利用されるなど、注目度を高めている。今回の脆弱性(下記参照)は、2009年1月5日にIPAが報告を受け、JPCERT/CCが開発者との調整を行なったうえで公表した。
- SKIPユーザグループ製「SKIP」におけるSQLインジェクションの脆弱性 …… SKIPにログイン可能な利用者が、SKIPで作成されたコンテンツを改ざんしたり、SKIPに保存されている情報を取得する可能性がある。
- SKIPユーザグループ製「SKIP」におけるクロスサイト・スクリプティングの脆弱性 …… 特定のWebブラウザ上で任意のスクリプトを実行される可能性がある。
影響を受けるバージョンは、「SKIP ver.1.0.2 およびそれ以前」「SKIP ver.1.1RC2 およびそれ以前」。SKIPユーザグループでは、対策済みのバージョンとして「SKIP ver.1.1.0」へのアップデートを呼びかけている。
