Periscope製「BuySpeed」にスクリプト実行の脆弱性（JVN）

独立行政法人 情報処理推進機構（IPA）および一般社団法人 JPCERT コーディネーションセンター（JPCERT/CC）は4月7日、Periscope Holdings, Inc.が提供する「BuySpeed」にクロスサイトスクリプティング（XSS）の脆弱性が存在すると「Japan Vulnerability Notes（JVN）」で発表した。CVSS v3によるBase Scoreは6.5。

「BuySpeed version 14.5」には、保存された任意のJavaScriptを無害化せずに表示する、格納型のXSSの脆弱性（CVE-2020-9056）が存在する。この脆弱性が悪用されると、ローカルの認証された攻撃者によって当該製品に保存された任意のJavaScriptを、ユーザのWebブラウザ上で実行される可能性がある。現時点で対策方法は公開されていない。