OpenPNE、任意のPHPコード実行の脆弱性

情報処理推進機構(IPA)は1月24日、「「OpenPNE」において任意のPHPコードが実行される脆弱性の対策について(JVN#69986880)」において「OpenPNE」に任意のPHPコードを実行できるセキュリティ脆弱性が存在すると伝えた。リモートから任意のPHPコードが実行できるという危険性の高いものであり、可能な限り迅速にセキュリティ脆弱性の修正された最新版へアップグレードすることが推奨されている。

セキュリティ脆弱性が存在するのは次のバージョン。

• OpenPNE 3.6.13およびこれ以降のバージョン
• OpenPNE 3.8.9およびこれ以降のバージョン

アップグレードに関する情報は「【緊急リリース】OpenPNE 3.6.13, 3.8.9 以下の「次回から自動ログイン」機能に存在する PHP Object Injection 脆弱性対応のお知らせ (OPSA-2014-001)」にまとまっている。OpenPNEはソーシャルネットワークシステムの構築ソフトウェア。大学や企業など、さまざまな組織に対応したソーシャルネットワークサイトの構築を可能にする。