mixiが運営するサイトで重大な脆弱性が発見されるも「既知の脆弱性である」として賞金は無しに

あるAnonymous Coward 曰く、　昨年9月30日より賞金付きの脆弱性報告制度を開始したmixiだが、この報告制度を使って「外部からOSコマンドを実行できる」という重大な脆弱性が報告されたそうだ。だが、「既知の脆弱性である」と判断され賞金提供には至らなかったという。

　問題の脆弱性はmixiが運営するサイト「ショッパーズアイ」にて見つかったもので、外部からOSコマンドを実行できるというもの（mixi脆弱性報告制度：評価対象外になったもの — WEB系情報セキュリティ学習メモ）。

　mixiは脆弱性報告制度を開始した際、賞金の例として「リモートからWebサーバー上で任意のコードが実行可能」に「100万円」が提示されていたが、今回は「既知の脆弱性である」との判断で報酬の対象外になったという。

　また、URLのパラメータを変更することでページ内のプルダウンメニューの項目を非常に大きな数に変更できるという、DoS攻撃を容易にする仕様についても報告したがこちらも「既知」とされてしまったそうだ。ちなみにこの報告者は過去にmixiに対し別の脆弱性を報告し報酬を手に入れているそうだ。

　スラッシュドットのコメントを読む | セキュリティセクション | セキュリティ

　関連ストーリー：
Google、オープンソースソフトウェアの脆弱性修正にも報奨金を提供 2013年10月13日
MS、IE11の脆弱性発見者に対し総額2万8,000ドルの賞金を出す 2013年10月10日
mixiが「賞金付き」の脆弱性報告制度を開始 2013年10月01日
Google、バグ発見者達に総額4000ドル以上の報奨金を支払う 2010年09月16日