セキュリティ

SECURITY

公開：2024-11-07

【CVE-2024-10746】PHPGurukul Online Shopping Portal 2.0にXSS脆弱性が発見、リモート攻撃のリスクが明らかに

text: XEXEQ編集部
（記事は執筆時の情報に基づいており、現在では異なる場合があります）

記事の要約

• PHPGurukul Online Shopping Portal 2.0にXSS脆弱性が発見
• dom_data.phpファイルがクロスサイトスクリプティングに影響
• CVSS評価でMEDIUMレベルのリスクと判定

PHPGurukul Online Shopping Portal 2.0の脆弱性

2024年11月3日、PHPGurukul Online Shopping Portal 2.0のdom_data.phpファイルにクロスサイトスクリプティングの脆弱性が発見された。VulDBによって【CVE-2024-10746】として識別されたこの脆弱性は、scriptsパラメータの操作によってクロスサイトスクリプティング攻撃が可能になることが判明している。^[1]

この脆弱性のCVSS評価では、Version 4.0で5.3（MEDIUM）、Version 3.1で3.5（LOW）、Version 3.0で3.5（LOW）のスコアが付けられた。攻撃者は遠隔から攻撃を開始することができ、一定の特権が必要となるものの実行のハードルは低いとされている。

VulDBの調査によると、この脆弱性は/admin/assets/plugins/DataTables/media/unit_testing/templates/dom_data.phpの未知の部分に影響を与えることが判明した。既に exploitが公開されており、攻撃に必要な情報が入手可能な状態となっている。

PHPGurukul Online Shopping Portal 2.0の脆弱性詳細

脆弱性の詳細はこちら

クロスサイトスクリプティングについて

クロスサイトスクリプティング（XSS）とは、Webアプリケーションの脆弱性の一種であり、攻撃者が悪意のあるスクリプトをWebページに挿入できる問題を指す。主な特徴として以下のような点が挙げられる。

• ユーザーの入力値が適切にサニタイズされずにHTML出力される
• 攻撃者が任意のJavaScriptコードを実行可能
• セッションの乗っ取りやユーザー情報の窃取が可能

PHPGurukul Online Shopping Portal 2.0で発見されたXSS脆弱性は、dom_data.phpファイル内でスクリプトパラメータの処理が適切に行われていないことが原因である。CWE-79として分類されるこの脆弱性は、CVSS評価でMEDIUMレベルと判定されており、攻撃の成功により情報漏洩やユーザーセッションの悪用などのリスクが想定される。

PHPGurukul Online Shopping Portal 2.0の脆弱性に関する考察

本脆弱性の発見は、eコマースプラットフォームのセキュリティ管理における重要な課題を提起している。特にDataTablesプラグインのような広く利用されているコンポーネントに脆弱性が存在することは、同様のプラグインを使用する他のシステムにも影響を与える可能性があることを示唆している。

今後は入力値のバリデーションとサニタイズ処理の強化が必要不可欠となるだろう。特にAdmin権限で利用される機能については、より厳密なセキュリティチェックを実装することが望ましい。PHPGurukulには、セキュリティアップデートの迅速な提供と、セキュアコーディングガイドラインの整備が求められている。

また、サードパーティプラグインの利用に関するセキュリティレビューの重要性も浮き彫りとなった。今後のバージョンでは、コンテンツセキュリティポリシー（CSP）の導入やXSS対策のためのセキュリティヘッダーの実装など、複合的なセキュリティ対策の導入が期待される。

参考サイト

1. ^ CVE. 「CVE Record | CVE」. https://www.cve.org/CVERecord?id=CVE-2024-10746, (参照 24-11-07).

※上記コンテンツはAIで確認しておりますが、間違い等ある場合はコメントよりご連絡いただけますと幸いです。

「セキュリティ」に関するコラム一覧「セキュリティ」に関するニュース一覧