独立行政法人情報処理推進機構(IPA)および一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)は3月25日、ぜろちゃんねるスクリプト(0ch)におけるクロスサイトスクリプティングの脆弱性について「Japan Vulnerability Notes(JVN)」で発表した。影響を受けるシステムは以下の通り。
Python 3.10.14、3.9.19、3.8.19 をリリース
ぜろちゃんねるスクリプト ver.4.00(届出当時の記載による)
ぜろちゃんねる(届出当時の記載による)が提供する掲示板ソフトウェア ぜろちゃんねるスクリプト(0ch)(届出当時の記載による) には、クロスサイトスクリプティングの脆弱性が存在し、当該製品を使用しているサイトにアクセスしたユーザのウェブブラウザ上で任意のスクリプトを実行される可能性がある。
JVNでは、ぜろちゃんねるスクリプト(0ch)(test070124.zip)の使用中止を検討するよう呼びかけている。製品開発者と連絡が取れないため、本脆弱性の対策状況は不明とのこと。
なお、本脆弱性は2023年12月20日に開催された公表判定委員会による判定で、平成29年経済産業省告示第19号および、情報セキュリティ早期警戒パートナーシップガイドラインにおける、下記のすべての条件を満たすことを確認したため、JVN で公表することが適当と判定されたため、IPA は脆弱性情報を公表すると判断している。
1.当該案件が調整不能であること
2.脆弱性の存在が認められると判断できること
3.IPA が公表しない限り、当該脆弱性情報を知り得ない製品利用者がいるおそれがあること
4.製品開発者や製品利用者の状況等を総合的に勘案して、公表が適当でないと判断する理由・事情がないこと
