セキュリティ

SECURITY

公開：2024-11-07

【CVE-2024-10745】PHPGurukul Online Shopping Portal 2.0でXSS脆弱性を発見、早急な対応が必要に

text: XEXEQ編集部
（記事は執筆時の情報に基づいており、現在では異なる場合があります）

記事の要約

• PHPGurukul Online Shopping Portal 2.0でXSS脆弱性を発見
• deferred_table.phpファイルに関連する問題を確認
• CWE-79として分類され、深刻度は中程度

PHPGurukul Online Shopping Portal 2.0のXSS脆弱性

PHPGurukul Online Shopping Portal 2.0において、admin/assets/plugins/DataTables/media/unit_testing/templates/deferred_table.phpファイルに関連するクロスサイトスクリプティング脆弱性が2024年11月3日に公開された。この脆弱性は【CVE-2024-10745】として識別されており、CVSSスコアは5.3（Medium）と評価されている。^[1]

この脆弱性は引数scriptsの操作によってクロスサイトスクリプティング攻撃を引き起こす可能性があるため、リモートからの攻撃が可能となっている。CWEによる脆弱性タイプはクロスサイトスクリプティング（CWE-79）に分類されており、VulDBユーザーsecuserxによって報告された。

CVSSメトリクスによると、攻撃元区分はネットワーク経由であり、攻撃の複雑さは低いと評価されている。攻撃には低レベルの権限が必要だが、ユーザーの操作は不要とされており、整合性への影響が懸念される状況だ。

PHPGurukul Online Shopping Portal 2.0の脆弱性詳細

クロスサイトスクリプティングについて

クロスサイトスクリプティングとは、Webアプリケーションに存在する脆弱性の一種で、攻撃者が悪意のあるスクリプトをWebページに挿入できる問題のことを指す。主な特徴として、以下のような点が挙げられる。

• ユーザーの入力値が適切にサニタイズされずにページに出力される
• 攻撃者が任意のJavaScriptコードを実行可能
• ユーザーのセッション情報やクッキーが窃取される危険性がある

PHPGurukul Online Shopping Portal 2.0で発見された脆弱性は、deferred_table.phpファイル内でscripts引数の値が適切にサニタイズされていないことが原因となっている。CVSSスコアが示すように攻撃の複雑さは低く、外部からの攻撃が可能なため、早急な対応が必要とされている。

PHPGurukul Online Shopping Portal 2.0の脆弱性に関する考察

PHPGurukul Online Shopping Portal 2.0におけるXSS脆弱性は、ECサイトのセキュリティ管理における重要な課題を浮き彫りにしている。特に管理画面に関連するファイルでの脆弱性は、システム全体に大きな影響を及ぼす可能性があり、ユーザー情報の漏洩やセッションハイジャックなどの深刻な被害につながる恐れがある。

今後の対策として、入力値のバリデーションやサニタイズ処理の強化、セキュリティヘッダーの適切な設定が不可欠となるだろう。特にContent Security Policy（CSP）の導入やHTTPOnly属性の設定により、スクリプトインジェクション攻撃のリスクを大幅に軽減することが可能となる。

オープンソースのECサイトプラットフォームとして、定期的なセキュリティ監査や脆弱性診断の実施が望まれる。コミュニティによるコードレビューの促進やセキュリティガイドラインの整備により、より安全なプラットフォームへと進化することが期待される。

参考サイト

1. ^ CVE. 「CVE Record | CVE」. https://www.cve.org/CVERecord?id=CVE-2024-10745, (参照 24-11-07).

※上記コンテンツはAIで確認しておりますが、間違い等ある場合はコメントよりご連絡いただけますと幸いです。

「セキュリティ」に関するコラム一覧「セキュリティ」に関するニュース一覧