SugarCRMのセキュリティ・ホール(IPAの資料より引用)
SugarCRMのセキュリティ・ホール(IPAの資料より引用)
[画像のクリックで拡大表示]

 独立行政法人 情報処理推進機構は12月21日,オープンソースのCRM(顧客管理システム)「SugarCRM」のクロスサイト・スクリプティングのセキュリティ・ホールを公表した。対策は,パッチを適用することなど。

 SugarCRMにログイン中のユーザーが,悪意のあるWebサイトにアクセスすると,送り込まれたスクリプトをSugarCRMのユーザー権限でスクリプトを実行させられてしまう可能性がある。また,Cookieのセッション情報を奪われ,ユーザーになりすまされる恐れがある。

◎関連資料
JVN#74079537:SugarCRM におけるクロスサイトスクリプティングの脆弱性(JVN)
JVN#74079537:「SugarCRM」におけるクロスサイト・スクリプティングの脆弱性 (IPA)
Sugar Open Source Release Notes Version 4.5.0g(SugarCRM)