この度、弊社製品「抹茶SNS」において、セキュリティ上の脆弱性が確認されました。
これを受け、脆弱性を修正した最新バージョン1.3.10をリリースいたしました。
本アップデートには、利用者のブラウザ上で不正なスクリプトが実行される深刻な脆弱性への対策が含まれています。
旧バージョンをご利用のお客様は、速やかに最新版へのアップデートを行っていただきますようお願い申し上げます。
1) 修正された脆弱性の内容
- クロスサイト・スクリプティングの脆弱性 CWE-79(CVE-2026-27787)
[内容] ログイン可能なユーザにより、プロフィール名やファイル名に不正なスクリプトを混入させ、他のユーザのブラウザ上で実行させる可能性があります。
[影響] ログイン中のユーザのCookieが窃取され、アカウントをなりすまされたり、ページ表示を改ざんされたりする恐れがあります。
2) 対象製品・バージョン
抹茶SNS 1.3.9およびそれ以前のバージョン
3) アップデート方法
新しいバージョンは製品のダウンロードページからダウンロードすることができます。
旧バージョンからのアップデートについては、開発者ブログ「抹茶のバージョンアップ方法」をご参照ください。
4) 謝辞
本脆弱性情報の報告をいただきました、三井物産セキュアディレクション株式会社の近川健太氏、ならびに調整にあたられたJPCERTコーディネーションセンター(JPCERT/CC)に深く感謝申し上げます。
【オープンソース版をご利用の皆様へ】
現在、抹茶請求書のオープンソース版は、すでに公式サポートが終了しているPHP5.6環境での動作を前提としております。
セキュリティの観点から、オープンソース版はシステムの検証目的としての利用に留めていただくことを推奨します。
最新のPHP8.2に対応し、より強固なセキュリティを備えた「有償版」への移行も併せてご検討ください。
有償版に関するお問い合わせ先
株式会社アイシーズ お問い合わせフォーム