QPR Software Oyj. 、QPR Portalに複数の脆弱性を確認
QPR Portalにクロスサイトスクリプティングと安全でないダイレクトオブジェクト参照の脆弱性が確認された。クロスサイトスクリプティングの影響を受けるのはQPR Portalバージョン2014.1.1とそれ以前、安全でないダイレクトオブジェクト参照の影響を受けるのはバージョン2012.2.0とそれ以前で、ノート作成ページのtitleとbodyフィールドの処理にクロスサイトスクリプティング脆弱性が存在し、RIDパラメータに影響する。また、ユーザコントロールキーの認証バイパスにより他のユーザのノートの修正や削除が可能となる。これらの脆弱性が攻撃者に悪用されると、エンドユーザのブラウザのコンテキスト上で任意のスクリプトが実行されたり、ユーザのノートで許可されていない操作を実行される恐れがある。解決策として、クロスサイトスクリプティングに関しては、QPR Portal 2014.1.1をインストールし、その後Hotfix 402288することでこの脆弱性は解消される。また、QPR Portalバージョン2012.2.1とそれ以降は認証バイパスの影響を受けないためアップデートにより解消される。
