JPCERTコーディネーションセンター(Japan Computer Emergency Response Team Coordination Center:JPCERT/CC)は4月22日、「JVN#55833077: yappa-ng におけるクロスサイトスクリプティングの脆弱性」において、PHPフォトギャラリー「yappa-ng」にクロスサイトスクリプティングの脆弱性が存在すると伝えた。この脆弱性を悪用されると、yappa-ngを使用しているサイトにアクセスしたユーザーのWebブラウザ上で任意のスクリプトが実行される可能性がある

脆弱性が確認されたプロダクトおよびバージョンは次のとおり。

  • yappa-ng 2.3.2 (検証環境: CentOS Linux 7.8.2003、Apache 2.4.6、PHP 5.4.16)
  • JVN#55833077: yappa-ng におけるクロスサイトスクリプティングの脆弱性

    JVN#55833077: yappa-ng におけるクロスサイトスクリプティングの脆弱性

JPCERT/CCは、この脆弱性に関しては、製品開発者と連絡が取れないため対策状況が不明としており、使用の中止検討を呼びかけている。