mixiの運営するサイト「ショッパーズアイ」で任意のOSコマンドを実行できる脆弱性が見つかる
タレコミ by Anonymous Coward
あるAnonymous Coward 曰く、
mixiが運営するサイト「ショッパーズアイ」にて、外部からOSコマンドを実行できるという脆弱性があったことが判明した。外部のエンジニアが発見して連絡したところ、「既知の脆弱性である」との判断がされたという(mixi脆弱性報告制度:評価対象外になったもの — WEB系情報セキュリティ学習メモ)。
mixiは昨年9月30日より、賞金付きの脆弱性報告制度を開始し、外部からの脆弱性報告を募っていた。今回発覚した脆弱性は「リモートからWebサーバー上で任意のコードが実行可能」という深刻なもので、「100万円」の報酬が提示されていたが、「基地の脆弱性である」との判断で報酬の対象外になったという。
また、URLのパラメータを変更することでページ内のプルダウンメニューの項目を非常に大きな数に変更できるという、DoS攻撃を容易にする仕様についても報告したがこちらも「既知」とされてしまったそうだ。ちなみに報告者は過去にmixiに対し別の脆弱性を報告し報酬を手に入れている。
mixiの運営するサイト「ショッパーズアイ」で任意のOSコマンドを実行できる脆弱性が見つかる More ログイン