独立行政法人情報処理推進機構(IPA)および一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)は9月5日、F-RevoCRM における複数の脆弱性について「Japan Vulnerability Notes(JVN)」で発表した。GMOサイバーセキュリティ byイエラエ株式会社の石井健太郎氏が報告を行っている。影響を受けるシステムは以下の通り。
・CVE-2023-41149
F-RevoCRM version7.3.7 および version7.3.8
・CVE-2023-41150
F-RevoCRM version7.3.8 までのすべての7.3系
シンキングリード株式会社が提供する F-RevoCRM には、下記の影響を受ける可能性がある複数の脆弱性が存在する。
・OS コマンドインジェクション(CVE-2023-41149)
→当該製品にアクセス可能な攻撃者によって、当該製品が動作するサーバ上で任意の OS コマンドを実行される
・クロスサイトスクリプティング(CVE-2023-41150)
→当該製品を使用しているユーザのウェブブラウザ上で、任意のスクリプトを実行される
JVNでは、開発者が提供する情報をもとにパッチを適用するよう呼びかけている。
