独立行政法人 情報処理推進機構は12月21日,オープンソースのCRM(顧客管理システム)「SugarCRM」のクロスサイト・スクリプティングのセキュリティ・ホールを公表した。対策は,パッチを適用することなど。
SugarCRMにログイン中のユーザーが,悪意のあるWebサイトにアクセスすると,送り込まれたスクリプトをSugarCRMのユーザー権限でスクリプトを実行させられてしまう可能性がある。また,Cookieのセッション情報を奪われ,ユーザーになりすまされる恐れがある。
◎関連資料
◆JVN#74079537:SugarCRM におけるクロスサイトスクリプティングの脆弱性(JVN)
◆JVN#74079537:「SugarCRM」におけるクロスサイト・スクリプティングの脆弱性 (IPA)
◆Sugar Open Source Release Notes Version 4.5.0g(SugarCRM)