情報通信工学科 小川さんがSteticの脆弱性を発見しました

2021.12.21

情報通信工学科の小川直城さんが、WordPress用プラグインStetic におけるクロスサイトリクエストフォージェリの脆弱性を発見しました。
発見された脆弱性は、CVE Numbering Authority (CNA)であるWordfence社に報告され、そのCVSSスコアは8.8 (High)と評価され、vulnerability advisories(脆弱性注意情報)においてCVE番号とともに公知になりました。

発見者
工学部 情報通信工学科 小川直城さん(4年)
所属研究室
暗号方式・暗号プロトコル研究室齊藤泰一教授
脆弱性番号
CVE-2021-42364
脆弱性対策情報データベース
Stetic <= 1.0.6 Cross-Site Request Forgery to Stored Cross-Site Scripting

CVE

*脆弱性とは
コンピューターネットワークにおける安全上の欠陥。オペレーティングシステムやアプリケーションソフトのバグ、開発者が予期しなかった利用方法などにより、悪意のある第三者によってコンピューターウイルスに感染させられたり、不正アクセスの被害にあったりするおそれがあること。

*脆弱性番号とは
脆弱性を発見し報告すると脆弱性番号(CVE番号、JVN番号)が割り振られ、その脆弱性が修正されると発見者名とともに公表されます。脆弱性番号は半永久的に残る発見者の業績になります。

*CVE Numbering Authorityとは
脆弱性に対してCVE番号を割り当てることができる組織。

*CVSSスコアとは
CVSS(Common Vulnerability Scoring System) とは共通脆弱性評価システムと呼ばれ、基本評価基準、現状評価基準、環境評価基準の3つの基準でIT製品のセキュリティ脆弱性の深刻さを評価するもの。0.0~10.0の範囲でスコアが表示され、数字が高いほど緊急度が高い。