セキュリティ

SECURITY

公開：2024-10-23

【CVE-2024-45071】IBM WebSphere Application ServerにXSS脆弱性、情報取得と改ざんのリスクに対応急ぐ

text: XEXEQ編集部
（記事は執筆時の情報に基づいており、現在では異なる場合があります）

記事の要約

• IBM WebSphere Application ServerにXSS脆弱性を確認
• 複数のバージョンで情報取得・改ざんのリスク
• ベンダーより正式な対策パッチを公開

IBM WebSphere Application Server 8.5-9.0系のXSS脆弱性

IBMは2024年10月16日、同社のIBM WebSphere Application Serverにおいてクロスサイトスクリプティングの脆弱性が発見されたことを公開した。この脆弱性は【CVE-2024-45071】として識別されており、CVSS v3による深刻度基本値は4.8となっている。^[1]

影響を受けるバージョンはIBM WebSphere Application Server 8.5.0.0から8.5.5.26およびIBM WebSphere Application Server 9.0.0.0から9.0.5.21となっている。攻撃元区分はネットワークであり、攻撃条件の複雑さは低いものの攻撃に必要な特権レベルは高く設定されている。

本脆弱性の影響により、情報の取得や改ざんの可能性が指摘されており、利用者の関与が必要となるものの影響の想定範囲に変更があるとされている。機密性および完全性への影響は低レベルであり、可用性への影響は確認されていない。

IBM WebSphere Application Serverの脆弱性詳細

クロスサイトスクリプティングについて

クロスサイトスクリプティングとは、Webアプリケーションの脆弱性の一種であり、攻撃者が悪意のあるスクリプトをWebページに埋め込むことができる問題を指す。主な特徴として以下のような点が挙げられる。

• ユーザーの入力値が適切にサニタイズされずに出力される
• 攻撃者が任意のスクリプトを実行可能
• ユーザーの Cookie や個人情報が漏洩するリスクがある

CVSSでは本脆弱性の深刻度基本値を4.8と評価しており、機密性および完全性への影響は低レベルに分類されている。IBM WebSphere Application Serverの脆弱性は高い特権レベルが必要となるものの、攻撃条件の複雑さは低く設定されており、情報の取得や改ざんのリスクが存在する。

IBM WebSphere Application Serverの脆弱性に関する考察

IBM WebSphere Application Serverの脆弱性対応において、ベンダーが迅速に正式な対策を公開したことは評価に値する。しかしながら、広範なバージョンに影響が及ぶことから、企業のシステム管理者は迅速なパッチ適用の判断と実施が求められているだろう。

今後は同様の脆弱性を防ぐため、開発段階でのセキュリティテストの強化が必要となる可能性がある。特に入力値のバリデーションやサニタイズ処理の徹底など、基本的なセキュリティ対策の見直しが重要となるだろう。

IBMには継続的なセキュリティアップデートの提供と、より強固なセキュリティ機能の実装が期待される。特にエンタープライズ向けアプリケーションサーバーとして、より高度な脅威への対応と、システムの安定性を両立させる取り組みが求められている。

参考サイト

1. ^ JVN. 「JVNDB-2024-010801 - JVN iPedia - 脆弱性対策情報データベース」. https://jvndb.jvn.jp/ja/contents/2024/JVNDB-2024-010801.html, (参照 24-10-23).
2. IBM. https://www.ibm.com/jp-ja

※上記コンテンツはAIで確認しておりますが、間違い等ある場合はコメントよりご連絡いただけますと幸いです。

「セキュリティ」に関するコラム一覧「セキュリティ」に関するニュース一覧