最終更新日: 2017/02/15
情報源
Japan Vulnerability Notes JVN#39008927
脆弱性体験学習ツール AppGoat におけるクロスサイトリクエストフォージェリの脆弱性
https://jvn.jp/jp/JVN39008927/
Japan Vulnerability Notes JVN#88176589
脆弱性体験学習ツール AppGoat における認証不備の脆弱性
https://jvn.jp/jp/JVN88176589/
Japan Vulnerability Notes JVN#87662835
脆弱性体験学習ツール AppGoat における DNS リバインディングの脆弱性
https://jvn.jp/jp/JVN87662835/
Japan Vulnerability Notes JVN#71666779
脆弱性体験学習ツール AppGoat において任意のコードが実行可能な脆弱性
https://jvn.jp/jp/JVN71666779/
概要
脆弱性体験学習ツール AppGoat には、複数の脆弱性があります。結果として、遠隔の第三者が、AppGoat のユーザに悪意のある Web サーバへのアクセスを行わせることで、任意のコードを実行するなどの可能性があります。
対象となるバージョンは以下の通りです。
– 脆弱性体験学習ツール AppGoat ウェブアプリケーション用学習ツール V3.0.0 およびそれ以前
2017年2月13日、この問題を修正した AppGoat V3.0.1 に不具合があることが判明したため、情報処理推進構 (IPA) は当該製品の提供を一時的に停止し、使用停止を促しています。詳細は、情報処理推進構 (IPA) が提供する情報を参照してください。
関連文書 (日本語)
情報処理推進構 (IPA)
脆弱性体験学習ツール AppGoat
https://www.ipa.go.jp/security/vuln/appgoat/
引用元:JPCERTコーディネーションセンター
「JPCERT/CC WEEKLY REPORT 2017-02-15」
https://www.jpcert.or.jp/wr/2017/wr170601.html