JVN#22536871: QQQ SYSTEMS における OS コマンドインジェクションの脆弱性

QQQ SYSTEMS には、OS コマンドインジェクションの脆弱性が存在します。

製品開発者：ガンダムカルトQQQ

届出のあったソフトウエア製品名およびバージョン：QQQ SYSTEMS バージョン 2.24

ガンダムカルトQQQ が提供する QQQ SYSTEMS は、perl を使用した CGI 用クイズスクリプトです。 QQQ SYSTEMS には、OS コマンドインジェクション (CWE-78) の脆弱性が存在します。

第三者によって、Web サーバの実行権限で任意の OS コマンドを実行される可能性があります。

QQQ SYTEMS 2.24 の使用中止を検討してください
製品開発者と連絡が取れないため、本脆弱性の対策状況は不明です。

なし

この案件は、2017年12月5日に開催された公表判定委員会による判定にて、ソフトウエア製品等の脆弱性関連情報に関する取扱規程（平成29年経済産業省告示第19号）および、情報セキュリティ早期警戒パートナーシップガイドラインにおける、次のすべての条件を満たすことを確認したため、JVN で公表することが適当と判定されたものです。

当該案件が調整不能であること
製品開発者への連絡方法として、以下の連絡を実施したが一定期間 (6カ月以上) 応答がないため、社会通念上調整不能であると判断。

- メールでの連絡 (2013/08/05～2014/09/02：6回) に対して応答が無い
- 「連絡不能開発者一覧（開発者名）」の連絡よびかけ (2014/09/26) に対して応答が無い
- 「連絡不能開発者一覧（補足情報）」の情報提供依頼 (2014/12/19) に対して応答が無い
- メールでの判定手続きの案内の連絡 (2017/11/06) に対して応答が無い
脆弱性の存在が認められると判断できること
当該ソフトウエア製品が動作するサーバ上で任意の OS コマンドが実行されることから (※)、機密性、完全性および可用性が侵害される。このため、当該ソフトウエア製品に脆弱性が存在すると判断。
※ 末尾に記載の「検証情報」を参照のこと。
IPAが公表しない限り、当該脆弱性情報を知り得ない製品利用者がいるおそれがあること
製品開発者のホームページ等を調査する限り、当該ソフトウエア製品は複製・改変が可能であり、ダウンロードして利用可能な製品であると考えられる。そのため、製品開発者が当該ソフトウエア製品の製品利用者全員を把握できず、確実に通知することは困難であり、公表しない限り当該脆弱性情報を知り得ない製品利用者がいるおそれがあると判断。
製品開発者や製品利用者の状況等を総合的に勘案して、公表が適当でないと判断する理由・事情がないこと
製品開発者の取組みや製品利用者の状況を鑑みて、公表によって社会的混乱を招くなどの公表することが不適切であると判断する明確な理由・事情がないと判断。

CVSS v3 CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:L

基本値: 7.3

攻撃元区分(AV)	物理 (P)	ローカル (L)	隣接 (A)	ネットワーク (N)
攻撃条件の複雑さ(AC)	高 (H)	低 (L)
必要な特権レベル(PR)	高 (H)	低 (L)	不要 (N)
ユーザ関与レベル(UI)	要 (R)	不要 (N)
スコープ(S)	変更なし (U)	変更あり (C)
機密性への影響(C)	なし (N)	低 (L)	高 (H)
完全性への影響(I)	なし (N)	低 (L)	高 (H)
可用性への影響(A)	なし (N)	低 (L)	高 (H)

CVSS v2 AV:N/AC:M/Au:N/C:P/I:P/A:P

基本値: 6.8

攻撃元区分(AV)	ローカル (L)	隣接 (A)	ネットワーク (N)
攻撃条件の複雑さ(AC)	高 (H)	中 (M)	低 (L)
攻撃前の認証要否(Au)	複数 (M)	単一 (S)	不要 (N)
機密性への影響(C)	なし (N)	部分的 (P)	全面的 (C)
完全性への影響(I)	なし (N)	部分的 (P)	全面的 (C)
可用性への影響(A)	なし (N)	部分的 (P)	全面的 (C)