ミニ・いんふぉめーしょん

目 次 

【1】複数の Microsoft 製品に脆弱性
【2】複数の Adobe 製品に脆弱性
【3】複数の VMware 製品に脆弱性
【4】複数の Cisco 製品に脆弱性
【5】WordPress にクロスサイトスクリプティングの脆弱性
【6】Ruby に複数の脆弱性
【7】複数の Intel 製品に脆弱性
【8】iOS アプリ「iChain保険ウォレット」にディレクトリトラバーサルの脆弱性
【9】簡易CMS紀永に複数の脆弱性
【今週のひとくちメモ】JNSA が「セキュリティ知識分野（SecBoK）人材スキルマップ2019年版」を公開

※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

※HTML 版および XML 版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2019/wr191101.html
https://www.jpcert.or.jp/wr/2019/wr191101.xml
============================================================================

【1】複数の Microsoft 製品に脆弱性

情報源
US-CERT Current Activity
Microsoft Releases March 2019 Security Updates
https://www.us-cert.gov/ncas/current-activity/2019/03/12/Microsoft-Releases-March-2019-Security-Updates

US-CERT Current Activity
Microsoft Releases Security Update for Azure Linux Guest Agent
https://www.us-cert.gov/ncas/current-activity/2019/03/14/Microsoft-Releases-Security-Update-Azure-Linux-Guest-Agent

概要
複数の Microsoft 製品には、脆弱性があります。結果として、遠隔の第三者
が任意のコードを実行するなどの可能性があります。

対象となる製品は次のとおりです。

- Internet Explorer
- Microsoft Edge
- Microsoft Windows
- Microsoft Office と Microsoft Office SharePoint
- ChakraCore
- Team Foundation Server
- Skype for Business
- Visual Studio
- NuGet
- Azure Linux Guest Agent

この問題は、Microsoft Update などを用いて、更新プログラムを適用するこ
とで解決します。詳細は、Microsoft が提供する情報を参照してください。

関連文書 (日本語)
マイクロソフト株式会社
2019 年 3 月のセキュリティ更新プログラム
https://portal.msrc.microsoft.com/ja-JP/security-guidance/releasenotedetail/ac45e477-1019-e911-a98b-000d3a33a34d

マイクロソフト株式会社
CVE-2019-0804 | Azure Linux エージェントの情報漏えいの脆弱性
https://portal.msrc.microsoft.com/ja-JP/security-guidance/advisory/CVE-2019-0804

JPCERT/CC 注意喚起
2019年 3月マイクロソフトセキュリティ更新プログラムに関する注意喚起
https://www.jpcert.or.jp/at/2019/at190012.html

【2】複数の Adobe 製品に脆弱性

情報源
US-CERT Current Activity
Adobe Releases Security Updates
https://www.us-cert.gov/ncas/current-activity/2019/03/12/Adobe-Releases-Security-Updates

Adobe
Security Bulletins Posted
https://blogs.adobe.com/psirt/?p=1724

概要
複数の Adobe 製品には、脆弱性があります。結果として、第三者が任意のコ
ードを実行する可能性があります。

対象となる製品およびバージョンは次のとおりです。

- Adobe Photoshop CC 20.0.2 およびそれ以前 (Windows, macOS)
- Adobe Photoshop CC 19.1.7 およびそれ以前 (Windows, macOS)
- Adobe Digital Editions 4.5.10.185749 およびそれ以前 (Windows)

この問題は、該当する製品を Adobe が提供する修正済みのバージョンに更新
することで解決します。詳細は、Adobe が提供する情報を参照してください。

関連文書 (日本語)
Adobe
Adobe Photoshop CC に関するセキュリティアップデート公開 | APSB19-15
https://helpx.adobe.com/jp/security/products/photoshop/apsb19-15.html

Adobe
Adobe Digital Editions に関するセキュリティアップデート公開 | APSB19-16
https://helpx.adobe.com/jp/security/products/Digital-Editions/apsb19-16.html

JPCERT/CC CyberNewsFlash
複数の Adobe 製品のアップデートについて
https://www.jpcert.or.jp/newsflash/2019031301.html

【3】複数の VMware 製品に脆弱性

情報源
US-CERT Current Activity
VMware Releases Security Updates for Workstation and Horizon
https://www.us-cert.gov/ncas/current-activity/2019/03/15/VMware-Releases-Security-Updates-Workstation-and-Horizon

概要
複数の VMware 製品には、脆弱性があります。結果として、第三者が情報を窃
取するなどの可能性があります。

対象となる製品およびバージョンは次のとおりです。

- VMware Workstation 15 系のバージョン (Windows)
- VMware Workstation 14 系のバージョン (Windows)
- VMware Horizon 7 (CR) 系のバージョン (Windows)
- VMware Horizon 7 (ESB) 系のバージョン (Windows)
- VMware Horizon 6 系のバージョン (Windows)

この問題は、該当する製品を VMware が提供する修正済みのバージョンに更新
するか、パッチを適用することで解決します。詳細は、VMware が提供する情
報を参照してください。

関連文書 (英語)
VMware Security Advisories
VMSA-2019-0002 VMware Workstation update addresses elevation of privilege issues
https://www.vmware.com/security/advisories/VMSA-2019-0002.html

VMware Security Advisories
VMSA-2019-0003 VMware Horizon update addresses Connection Server information disclosure vulnerability
https://www.vmware.com/security/advisories/VMSA-2019-0003.html

【4】複数の Cisco 製品に脆弱性

情報源
US-CERT Current Activity
Cisco Releases Security Updates
https://www.us-cert.gov/ncas/current-activity/2019/03/13/Cisco-Releases-Security-Updates

概要
複数の Cisco 製品には、脆弱性があります。結果として、遠隔の第三者がサー
ビス運用妨害 (DoS) 攻撃を行うなどの可能性があります。

対象となる製品およびバージョンは次のとおりです。

- Cisco Common Services Platform Collector 2.8.1.2 より前の 2.8.x 系バージョン
- Cisco Common Services Platform Collector 2.7.2 から 2.7.4.5 まで
- ファームウエア 7.6.2SR2 およびそれ以前のバージョンで動作する Cisco Small Business SPA514G IP Phone

この問題は、該当する製品を Cisco が提供する修正済みのバージョンに更新
することで解決します。なお、Cisco Small Business SPA514G IP Phone につ
いては、既にサポートが終了しており、この問題に対する解決策は提供されな
いとのことです。詳細は、Cisco が提供する情報を参照してください。

関連文書 (英語)
Cisco Security Advisory
Cisco Common Services Platform Collector Static Credential Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190313-cspcscv

Cisco Security Advisory
Cisco Small Business SPA514G IP Phones SIP Denial of Service Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190313-sip

【5】WordPress にクロスサイトスクリプティングの脆弱性

情報源
US-CERT Current Activity
WordPress Releases Security Update
https://www.us-cert.gov/ncas/current-activity/2019/03/14/WordPress-Releases-Security-Update

概要
WordPress には、クロスサイトスクリプティングの脆弱性があります。結果と
して、遠隔の第三者がユーザのブラウザ上で任意のスクリプトを実行する可能
性があります。

対象となるバージョンは次のとおりです。

- WordPress 5.1 およびそれ以前

この問題は、該当する製品を WordPress が提供する修正済みのバージョンに
更新することで解決します。詳細は、WordPress が提供する情報を参照してく
ださい。

関連文書 (英語)
WordPress
WordPress 5.1.1 Security and Maintenance Release
https://wordpress.org/news/2019/03/wordpress-5-1-1-security-and-maintenance-release/

【6】Ruby に複数の脆弱性

情報源
Ruby
Ruby 2.6.2 リリース
https://www.ruby-lang.org/ja/news/2019/03/13/ruby-2-6-2-released/

Ruby
Ruby 2.5.4 リリース
https://www.ruby-lang.org/ja/news/2019/03/13/ruby-2-5-4-released/

概要
Ruby には、複数の脆弱性があります。結果として、第三者が任意のコードを
実行するなどの可能性があります。

対象となるバージョンは次のとおりです。

- Ruby 2.6.1 およびそれ以前
- Ruby 2.5.3 およびそれ以前
- Ruby 2.4.5 およびそれ以前

この問題は、該当する製品を Ruby が提供する修正済みのバージョンに更新す
るか、パッチを適用することで解決します。なお、2019年3月19日現在、
Ruby 2.4 系における修正済みのバージョンは提供されていません。詳細は、
Ruby が提供する情報を参照してください。

関連文書 (英語)
Ruby
Multiple vulnerabilities in RubyGems
https://www.ruby-lang.org/en/news/2019/03/05/multiple-vulnerabilities-in-rubygems/

【7】複数の Intel 製品に脆弱性

情報源
Japan Vulnerability Notes JVNVU#98344681
Intel 製品に複数の脆弱性
https://jvn.jp/vu/JVNVU98344681/

概要
Intel 製品には、複数の脆弱性があります。結果として、遠隔の第三者が権限
を昇格するなどの可能性があります。

対象となる製品は次のとおりです。

- Intel CSME, Server Platform Services, Trusted Execution Engine
- Intel Active Management Technology
- Intel Graphics Driver for Windows
- Intel Firmware
- Intel Matrix Storage Manager
- Intel SGX SDK
- Intel USB 3.0 Creator Utility
- Intel Accelerated Storage Manager in RSTe

この問題は、該当する製品を Intel が提供する修正済みのバージョンに更新
することで解決します。詳細は、Intel が提供する情報を参照してください。

関連文書 (英語)
Intel
INTEL-SA-00185 - Intel CSME, Server Platform Services, Trusted Execution Engine and Intel Active Management Technology 2018.4 QSR Advisory
https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00185.html

Intel
INTEL-SA-00189 - Intel Graphics Driver for Windows* 2018.4 QSR Advisory
https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00189.html

Intel
INTEL-SA-00191 - Intel Firmware 2018.4 QSR Advisory
https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00191.html

Intel
INTEL-SA-00216 - Intel Matrix Storage Manager Advisory
https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00216.html

Intel
INTEL-SA-00217 - Intel Software Guard Extensions SDK Advisory
https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00217.html

Intel
INTEL-SA-00229 - Intel USB 3.0 Creator Utility Advisory
https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00229.html

Intel
INTEL-SA-00231 - Intel Accelerated Storage Manager in RSTe Advisory
https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00231.html

【8】iOS アプリ「iChain保険ウォレット」にディレクトリトラバーサルの脆弱性

情報源
Japan Vulnerability Notes JVN#11622218
iOS アプリ「iChain保険ウォレット」におけるディレクトリトラバーサルの脆弱性
https://jvn.jp/jp/JVN11622218/

概要
iOS アプリ「iChain保険ウォレット」には、ディレクトリトラバーサルの脆弱
性があります。結果として、遠隔の第三者が情報を窃取する可能性があります。

対象となるバージョンは次のとおりです。

- iOS アプリ「iChain保険ウォレット」バージョン 1.3.0 およびそれ以前

この問題は、該当する製品を iChain株式会社が提供する修正済みのバージョン
に更新することで解決します。詳細は、iChain株式会社が提供する情報を参照
してください。

関連文書 (日本語)
iChain株式会社
「iChain 保険ウォレット」脆弱性に関するお知らせ
https://www.ichain.co.jp/security20190311.html

【9】簡易CMS紀永に複数の脆弱性

情報源
Japan Vulnerability Notes JVN#06527859
簡易CMS紀永における複数のクロスサイトスクリプティングの脆弱性
https://jvn.jp/jp/JVN06527859/

概要
簡易CMS紀永には、複数のクロスサイトスクリプティングの脆弱性があります。
結果として、遠隔の第三者が情報を窃取するなどの可能性があります。

対象となるバージョンは次のとおりです。

- KinagaCMS 6.5 より前のバージョン

この問題は、該当する製品を紀永プロジェクトが提供する修正済みのバージョン
に更新することで解決します。詳細は、紀永プロジェクトが提供する情報を参
照してください。

関連文書 (日本語)
紀永プロジェクト
Kinagaデモサイト
https://紀永.がりはり.com/

目 次 

【1】Mozilla Firefox に複数の脆弱性
【2】Drupal にクロスサイトスクリプティングの脆弱性
【3】複数の Cisco 製品に脆弱性
【4】iOS アプリ「an」にディレクトリトラバーサルの脆弱性
【今週のひとくちメモ】IPA が「中小企業の情報セキュリティ対策ガイドライン」の第3版を公開

※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

※HTML 版および XML 版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2019/wr191201.html
https://www.jpcert.or.jp/wr/2019/wr191201.xml
============================================================================

【1】Mozilla Firefox に複数の脆弱性

情報源
US-CERT Current Activity
Mozilla Releases Security Updates for Firefox
https://www.us-cert.gov/ncas/current-activity/2019/03/22/Mozilla-Releases-Security-Updates-Firefox

US-CERT Current Activity
Mozilla Releases Security Updates for Firefox
https://www.us-cert.gov/ncas/current-activity/2019/03/19/Mozilla-Releases-Security-Updates-Firefox

概要
Mozilla Firefox には、複数の脆弱性があります。結果として、遠隔の第三者
が、任意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を行ったりす
るなどの可能性があります。

対象となる製品およびバージョンは次のとおりです。

- Mozilla Firefox 66.0.1 より前のバージョン
- Mozilla Firefox ESR 60.6.1 より前のバージョン

この問題は、Mozilla Firefox を Mozilla が提供する修正済みのバージョン
に更新することで解決します。詳細は、Mozilla が提供する情報を参照してく
ださい。

関連文書 (英語)
Mozilla
Security vulnerabilities fixed in Firefox 66
https://www.mozilla.org/en-US/security/advisories/mfsa2019-07/

Mozilla
Security vulnerabilities fixed in Firefox 66.0.1
https://www.mozilla.org/en-US/security/advisories/mfsa2019-09/

Mozilla
Security vulnerabilities fixed in Firefox ESR 60.6
https://www.mozilla.org/en-US/security/advisories/mfsa2019-08/

Mozilla
Security vulnerabilities fixed in Firefox 60.6.1
https://www.mozilla.org/en-US/security/advisories/mfsa2019-10/

【2】Drupal にクロスサイトスクリプティングの脆弱性

情報源
US-CERT Current Activity
Drupal Releases Security Updates
https://www.us-cert.gov/ncas/current-activity/2019/03/20/Drupal-Releases-Security-Updates

概要
Drupal には、クロスサイトスクリプティングの脆弱性があります。結果とし
て、遠隔の第三者がユーザのブラウザ上で任意のコードを実行する可能性があ
ります。

対象となるバージョンは次のとおりです。

- Drupal 8.6.13 より前の 8.6 系のバージョン
- Drupal 8.5.14 より前の 8.5 系のバージョン
- Drupal 7.65 より前の 7 系のバージョン

なお、Drupal 8.5 系より前の 8 系のバージョンは、サポートが終了しており、
セキュリティに関する情報は提供されません。

この問題は、Drupal を Drupal が提供する修正済みのバージョンに更新する
ことで解決します。詳細は、Drupal が提供する情報を参照してください。

関連文書 (英語)
Drupal
Drupal core - Moderately critical - Cross Site Scripting - SA-CORE-2019-004
https://www.drupal.org/sa-core-2019-004

【3】複数の Cisco 製品に脆弱性

情報源
US-CERT Current Activity
Cisco Releases Security Advisories for Multiple Products
https://www.us-cert.gov/ncas/current-activity/2019/03/20/Cisco-Releases-Security-Advisories-Multiple-Products

概要
複数の Cisco 製品には、脆弱性があります。結果として、遠隔の第三者がサー
ビス運用妨害 (DoS) 攻撃を行うなどの可能性があります。

対象となる製品およびバージョンは次のとおりです。

- Cisco Wireless IP Phone 8821 上で稼働している SIP ソフトウエア 11.0(5) より前のバージョン
- Cisco Wireless IP Phone 8821-EX 上で稼働している SIP ソフトウエア 11.0(5) より前のバージョン
- Cisco IP Conference Phone 8832 上で稼働している SIP ソフトウエア 12.5(1)SR1 より前のバージョン
- Cisco Unified IP Conference Phone 8831 上で稼働している SIP ソフトウエア 10.3(1)SR5 より前のバージョン
- その他 Cisco IP Phone 7800 シリーズ上で稼働している SIP ソフトウエア 12.5(1)SR1 より前のバージョン
- その他 Cisco IP Phone 8800 シリーズ上で稼働している SIP ソフトウエア 12.5(1)SR1 より前のバージョン

この問題は、該当する製品を Cisco が提供する修正済みのバージョンに更新
することで解決します。詳細は、Cisco が提供する情報を参照してください。

関連文書 (英語)
Cisco Security Advisory
Cisco IP Phone 8800 Series Path Traversal Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190320-ipptv

Cisco Security Advisory
Cisco IP Phone 8800 Series File Upload Denial of Service Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190320-ipfudos

Cisco Security Advisory
Cisco IP Phone 8800 Series Authorization Bypass Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190320-ipab

Cisco Security Advisory
Cisco IP Phone 7800 Series and 8800 Series Remote Code Execution Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190320-ip-phone-rce

Cisco Security Advisory
Cisco IP Phone 8800 Series Cross-Site Request Forgery Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190320-ip-phone-csrf

【4】iOS アプリ「an」にディレクトリトラバーサルの脆弱性

情報源
Japan Vulnerability Notes JVN#60497148
iOS アプリ「an」におけるディレクトリトラバーサルの脆弱性
https://jvn.jp/jp/JVN60497148/

概要
iOS アプリ「an」には、ディレクトリトラバーサルの脆弱性があります。結果
として、遠隔の第三者が情報を窃取する可能性があります。

対象となるバージョンは次のとおりです。

- iOS アプリ「an」 バージョン 3.2.0 およびそれ以前

この問題は、iOS アプリ「an」をパーソルキャリア株式会社が提供する修正済
みのバージョンに更新することで解決します。詳細は、パーソルキャリア株式
会社が提供する情報を参照してください。

関連文書 (日本語)
パーソルキャリア株式会社
「an」公式アプリ
https://weban.jp/contents/c/smartphone_apri/

目 次 

【1】複数の Cisco 製品に脆弱性
【2】OpenSSL にパディングオラクル攻撃の脆弱性
【3】複数の WordPress 用プラグインにクロスサイトリクエストフォージェリの脆弱性
【4】Nablarch に複数の脆弱性
【今週のひとくちメモ】日本スマートフォンセキュリティ協会、「IoTセキュリティチェックシート 第二版」を公開

※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

※HTML 版および XML 版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2019/wr190901.html
https://www.jpcert.or.jp/wr/2019/wr190901.xml
============================================================================

【1】複数の Cisco 製品に脆弱性

情報源
US-CERT Current Activity
Cisco Releases Security Updates
https://www.us-cert.gov/ncas/current-activity/2019/02/27/Cisco-Releases-Security-Updates

概要
複数の Cisco 製品には、脆弱性があります。結果として、遠隔の第三者が任
意のコードを実行するなどの可能性があります。

対象となる製品およびバージョンは次のとおりです。

- RV110W Wireless-N VPN Firewall 1.2.2.1 より前のバージョン
- RV130W Wireless-N Multifunction VPN Router 1.0.3.45 より前のバージョン
- RV215W Wireless-N VPN Router 1.3.1.1 より前のバージョン
- Cisco Webex Meetings Desktop App 33.6.6 より前のバージョン
- Cisco Webex Productivity Tools 32.6.0 以降 かつ 33.0.7 より前のバージョン

この問題は、該当する製品を Cisco が提供する修正済みのバージョンに更新
することで解決します。詳細は、Cisco が提供する情報を参照してください。

関連文書 (英語)
Cisco Security Advisory
Cisco RV110W, RV130W, and RV215W Routers Management Interface Remote Command Execution Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190227-rmi-cmd-ex

Cisco Security Advisory
Cisco Webex Meetings Desktop App and Cisco Webex Productivity Tools Update Service Command Injection Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190227-wmda-cmdinj

【2】OpenSSL にパディングオラクル攻撃の脆弱性

情報源
US-CERT Current Activity
OpenSSL Releases Security Update
https://www.us-cert.gov/ncas/current-activity/2019/02/26/OpenSSL-Releases-Security-Update

概要
OpenSSL には、パディングオラクル攻撃が可能な脆弱性があります。結果とし
て、遠隔の第三者が通信情報を窃取する可能性があります。

対象となるバージョンは次のとおりです。

- OpenSSL 1.0.2 から 1.0.2q まで

この問題は、OpenSSL を OpenSSL Project が提供する修正済みのバージョン
に更新することで解決します。詳細は、OpenSSL Project が提供する情報を参
照してください。

関連文書 (日本語)
JPCERT/CC
OpenSSL の脆弱性 (CVE-2019-1559) について
https://www.jpcert.or.jp/newsflash/2019022701.html

関連文書 (英語)
OpenSSL Project
OpenSSL Security Advisory [26 February 2019]
https://www.openssl.org/news/secadv/20190226.txt

【3】複数の WordPress 用プラグインにクロスサイトリクエストフォージェリの脆弱性

情報源
Japan Vulnerability Notes JVN#83501605
WordPress 用プラグイン FormCraft におけるクロスサイトリクエストフォージェリの脆弱性
https://jvn.jp/jp/JVN83501605/

Japan Vulnerability Notes JVN#97656108
WordPress 用プラグイン Smart Forms におけるクロスサイトリクエストフォージェリの脆弱性
https://jvn.jp/jp/JVN97656108/

概要
WordPress 用プラグイン FormCraft および Smart Forms には、クロスサイト
リクエストフォージェリの脆弱性があります。結果として、遠隔の第三者がユー
ザの意図しない操作を行う可能性があります。

対象となる製品およびバージョンは次のとおりです。

- FormCraft 1.2.1 およびそれ以前
- Smart Forms 2.6.15 およびそれ以前

この問題は、該当する製品を開発者が提供する修正済みのバージョンに更新す
ることで解決します。詳細は、開発者が提供する情報を参照してください。

関連文書 (英語)
FormCraft
Changelog
https://wordpress.org/plugins/formcraft-form-builder/#developers

Smart Forms
Changelog
https://wordpress.org/plugins/smart-forms/#developers

【4】Nablarch に複数の脆弱性

情報源
Japan Vulnerability Notes JVN#56542712
ナブラークにおける複数の脆弱性
https://jvn.jp/jp/JVN56542712/

概要
Nablarch (ナブラーク) には、複数の脆弱性があります。結果として、遠隔の
第三者が、サーバの情報を詐取したり、改ざんしたりする可能性があります。

対象となるバージョンは次のとおりです。

- Nablarch 5系 (5、および 5u1 から 5u13 まで)

この問題は、Nablarch を TIS株式会社が提供する修正済みのバージョンに更
新することで解決します。詳細は、TIS株式会社が提供する情報を参照してく
ださい。

関連文書 (日本語)
Nablarch
【不具合報告】Nablarch 汎用データフォーマット XXE脆弱性について
https://nablarch.atlassian.net/secure/attachment/10001/

Nablarch
【不具合報告】Nablarch HIDDENストア脆弱性について
https://nablarch.atlassian.net/secure/attachment/10002/