2025.6.25:iroha Board において複数の脆弱性が確認されました。(JVN#92520966)
本件は、JPCERT/CC を通じて届出を受けたものであり、既に対策を講じた修正版をリリースしております。
脆弱性の詳細
・強制ブラウジング(CVE-2025-41404)
概要:ログイン可能な攻撃者が、非公開に設定されたテストや配布資料等のコンテンツを閲覧できる可能性があります。
・クロスサイトリクエストフォージェリ(CVE-2025-48497)
概要:ログイン状態のユーザが、悪意のある第三者が作成したページにアクセスした場合、ユーザの意図に反して学習履歴の登録を実行させる恐れがあります。
影響を受けるバージョン
対象バージョン:v0.10.12 を含むそれ以前のバージョン
対応方法
最新版(v0.10.13 以降)へのアップデートをお願いいたします。
アップデート方法
https://irohaboard.irohasoft.jp/download/update/
謝辞
本件は、三井物産セキュアディレクション株式会社 東内 裕二様により発見され、JPCERT コーディネーションセンターを通じてご報告いただきました。
脆弱性の発見とご連絡に対し、心より感謝申し上げます。