独立行政法人 情報処理推進機構(IPA)および一般社団法人 JPCERT コーディネーションセンター(JPCERT/CC)は3月24日、連絡不能案件として5つのソフトウェアについて脆弱性情報を「Japan Vulnerability Notes(JVN)」で発表した。いずれも連絡の応答がなく調整不能であり、脆弱性の存在が認められると判断できること、脆弱性情報を知り得ないユーザがいることなどの条件を満たしたため、公表されたもの。公表されたソフトウェアおよびその概要は次の通り。製品名およびバージョン:掲示板 積木 v1.15開発者:Mash room - Free CGI -脆弱性:OSコマンドインジェクション(CVE-2020-5561)CVSS v3 Base Score:7.3ソフトウエア製品名およびバージョン:WL-Enq 1.11開発者:WonderLink脆弱性:OSコマンドインジェクション(CVE-2020-5560) クロスサイトスクリプティング(CVE-2020-5559)CVSS v3 最大Base Score:8.8ソフトウエア製品名およびバージョン:Cute News 2.0.1開発者:CutePHP.com脆弱性:任意のPHPコード実行(CVE-2020-5558) クロスサイトスクリプティング(CVE-2020-5557)CVSS v3 最大Base Score:6.3ソフトウエア製品名およびバージョン:私本管理 Plus GOOUT Ver1.5.8 および Ver2.2.10開発者:EKAKIN脆弱性:OSコマンドインジェクション(CVE-2020-5556) ディレクトリトラバーサル(CVE-2020-5554) 任意のファイルを操作される脆弱性(CVE-2020-5555)CVSS v3 最大Base Score:7.3ソフトウエア製品名およびバージョン:メールフォーム 1.04開発者:携帯サイトnet脆弱性:任意のPHPコード実行(CVE-2020-5553) クロスサイトスクリプティング(CVE-2020-5552)CVSS v3 最大Base Score:7.3JVNでは、これらの製品は製品開発者と連絡が取れないため、脆弱性の対策状況は不明であり、使用中止を検討するよう呼びかけている。
