電子情報メディア工学専攻の高橋 黎さんがEC-CUBE におけるクロスサイトスクリプティングの脆弱性(CVE-2023-22838)を発見
電子情報メディア工学専攻博士前期課程2年(橋浦研究室)高橋 黎さんが、EC-CUBEにおける複数のクロスサイトスクリプティングの脆弱性(CVE-2023-22838)を発見し、2月28日、JPCERTコーディネーションセンターより謝辞をいただきました。
オープンソース(OSS)ソフトウェア開発では、利用者からの報告(バグレポート)を元にソフトウェアの欠陥を修正が行われています。OSSの開発者は利用者から寄せられたバグレポートから、どこに原因があるのかを特定し、具体的な修正を行うことになりますが、バグレポートが不完全な場合、欠陥の修正が困難になることがあります。
JPCERTコーディネーションセンターでは、この様な、ソフトウェアに発見された保安上の欠陥(脆弱性)についての受付窓口となって、開発者などに情報を提供して対応を促すなどの活動をしています。
本研究では、このような問題の発生を防ぐため欠陥を発生させる方法を記録して自動実行するための手法を提案しています。
高橋さんは、修士論文「Web アプリケーションに対する欠陥再現自動化手法」の一環として行われた実験の中で本脆弱性を発見し、開発者に対して報告を行いました。
※EC-CUBE(イーシーキューブ)とは
株式会社イーシーキューブが開発、提供しているオープンソースのEC(インターネット上で交わされる商取引)向けコンテンツ管理システムです。 高橋さんの今後の活躍に期待しています。