セキュリティ

SECURITY

公開：2024-11-01

【CVE-2024-26273】Liferay Digital Experience Platformに深刻な脆弱性、情報漏洩やDoSのリスクが浮上

text: XEXEQ編集部
（記事は執筆時の情報に基づいており、現在では異なる場合があります）

記事の要約

• Liferayの複数製品でCSRF脆弱性が発見
• 影響度はCVSS v3で8.8の重要な脆弱性
• 情報取得や改ざん、DoS攻撃のリスクあり

Liferay Digital Experience Platform 7.3-2023のCSRF脆弱性

Liferayは同社が提供するDigital Experience PlatformおよびLiferay Portalにおいて、深刻なクロスサイトリクエストフォージェリの脆弱性が発見されたことを2024年10月31日に公開した。この脆弱性はCVE-2024-26273として識別されており、CVSS v3による基本値評価で8.8という高い深刻度を示している。^[1]

脆弱性の影響を受けるバージョンは、Digital Experience Platform 7.3、7.4、2023、およびLiferay Portal 7.4.0以上7.4.3.104未満となっている。攻撃条件の複雑さは低く設定されており、特権レベルも不要であることから、多くのシステムが潜在的な脅威にさらされている状態だ。

本脆弱性を悪用された場合、攻撃者による情報の不正取得や改ざん、さらにはサービス運用妨害状態を引き起こされる可能性が指摘されている。ベンダーからはすでにアドバイザリやパッチ情報が公開されており、影響を受けるシステムの早急な対策が推奨されるだろう。

Liferay製品の脆弱性影響範囲まとめ

クロスサイトリクエストフォージェリについて

クロスサイトリクエストフォージェリとは、Webアプリケーションに対する攻撃手法の一つで、ユーザーが意図しないリクエストを強制的に実行させる脆弱性のことを指す。主な特徴として、以下のような点が挙げられる。

• ログイン済みユーザーの権限を悪用した不正操作が可能
• ユーザーの意図しない処理を強制的に実行させる
• Webアプリケーションの重要な機能が悪用される危険性

CVE-2024-26273として報告された本脆弱性は、CVSS v3による評価で攻撃条件の複雑さが低く、特権レベルも不要とされている。攻撃者は正規ユーザーの権限を悪用して情報の窃取や改ざん、システムの可用性を低下させることが可能であり、早急な対策が必要となっている。

Liferay製品の脆弱性対策に関する考察

Liferayの製品に存在するクロスサイトリクエストフォージェリの脆弱性は、CVSS基本値が8.8と高い深刻度を示しており、情報セキュリティの観点から早急な対応が求められている。特に攻撃条件の複雑さが低く設定されていることから、攻撃者による悪用のリスクが高い状況にあるだろう。

この脆弱性への対策として、ベンダーから提供されるパッチの適用が最も効果的な手段となっているが、パッチ適用までの期間における一時的な対策も重要となってくる。WAFの導入やアクセス制御の強化、ログ監視の徹底など、多層的な防御策を講じることで、脆弱性が悪用されるリスクを低減することが可能だ。

将来的には、開発段階からセキュリティバイデザインの考え方を取り入れ、脆弱性の発生を未然に防ぐための取り組みが重要になってくる。特にCSRF対策については、トークンの実装やReferer検証など、複数の防御層を組み合わせた包括的なセキュリティ対策が望まれるだろう。

参考サイト

1. ^ JVN. 「JVNDB-2024-011610 - JVN iPedia - 脆弱性対策情報データベース」. https://jvndb.jvn.jp/ja/contents/2024/JVNDB-2024-011610.html, (参照 24-11-01).

※上記コンテンツはAIで確認しておりますが、間違い等ある場合はコメントよりご連絡いただけますと幸いです。

「セキュリティ」に関するコラム一覧「セキュリティ」に関するニュース一覧