ディサークル、POWER EGGに任意のEL式を実行可能な脆弱性
ディサークルのPOWER EGGに任意のEL式を実行可能な脆弱性が確認された。影響を受けるのは、POWER EGG2.0 Ver2.0.1、Ver2.02 修正パッチ3及びそれ以前、 Ver2.1 修正パッチ4 及びそれ以前、Ver2.2 修正パッチ7 及びそれ以前、Ver2.3 修正パッチ9 及びそれ以前、Ver2.4 修正パッチ13 及びそれ以前、Ver2.5 修正パッチ12及びそれ以前、Ver2.6 修正パッチ8 及びそれ以前、Ver2.7 修正パッチ6 及びそれ以前、Ver2.7 自治体版 修正パッチ7 及びそれ以前、Ver2.8 修正パッチ6 及びそれ以前、Ver2.8c 修正パッチ5 及びそれ以前、Ver2.9 修正パッチ4 及びそれ以前で、POWER EGG2.0で利用しているOSSライブラリに、ブラウザから任意のコードをサーバーで実行できるという脆弱性が存在する。
この脆弱性が悪用されると、第三者の遠隔操作よって、サーバを完全制御され、サーバ上で不正プログラムのインストールやデータの変更・削除などされる可能性がある。解決策として保守契約中の顧客については、利用中のバージョンに応じた緊急修正プログラムの適用を行うことによりこの脆弱性は解消される。また、HTTPまたはHTTPSポート番号宛の通信を信頼できるIPアドレスのみに限定するよう、IPフィルタリング機能またはルータ等にてフィルタリング設定を行うことでこの脆弱性に対する影響を軽減できる。
