セキュリティ

SECURITY

公開：2024-11-07

【CVE-2024-10747】PHPGurukul Online Shopping Portal 2.0にクロスサイトスクリプティングの脆弱性、管理画面での情報改ざんのリスクに警戒

text: XEXEQ編集部
（記事は執筆時の情報に基づいており、現在では異なる場合があります）

記事の要約

• PHPGurukul Online Shopping Portal 2.0に脆弱性
• dom_data_th.phpファイルでクロスサイトスクリプティングが発生
• リモートから攻撃可能で公開済みの脆弱性

PHPGurukul Online Shopping Portal 2.0のクロスサイトスクリプティング脆弱性

セキュリティ研究者によって、PHPGurukul Online Shopping Portal 2.0の/admin/assets/plugins/DataTables/media/unit_testing/templates/dom_data_th.phpファイルにクロスサイトスクリプティングの脆弱性が発見された。この脆弱性は【CVE-2024-10747】として識別されており、scriptsパラメータの操作によってクロスサイトスクリプティング攻撃が可能になることが判明している。^[1]

この脆弱性はリモートから攻撃を実行することが可能であり、既に一般に公開されているため悪用のリスクが高まっている。CVSSスコアは4.0のCVSS 2.0で評価されており、認証された状態での情報改ざんが可能になるという深刻な問題を抱えているのだ。

VulDBの評価によると、この脆弱性は部分的な技術的影響をもたらす可能性がある。攻撃には認証が必要だが、攻撃の複雑さは低く設定されており、利用者のインタラクションなしで攻撃を実行できる可能性が指摘されている。

PHPGurukul Online Shopping Portal 2.0の脆弱性詳細

クロスサイトスクリプティングについて

クロスサイトスクリプティングとは、Webアプリケーションの脆弱性の一種で、攻撃者が悪意のあるスクリプトをWebページに挿入できる問題のことを指す。主な特徴として、以下のような点が挙げられる。

• ユーザーの入力値が適切にサニタイズされずにページに出力される
• 攻撃成功時にユーザーのセッション情報などが漏洩する可能性
• Webブラウザ上で不正なスクリプトが実行される

PHPGurukul Online Shopping Portal 2.0で発見された脆弱性は、scriptsパラメータの不適切な処理に起因するクロスサイトスクリプティングの問題である。この脆弱性が悪用された場合、認証された状態でのみ攻撃が可能であり、情報の改ざんなどの影響が限定的であることがCVSSスコアからも読み取れる。

PHPGurukul Online Shopping Portal 2.0の脆弱性に関する考察

PHPGurukul Online Shopping Portal 2.0の脆弱性は、ECサイトの管理画面に影響を与える重要な問題として認識する必要がある。攻撃には認証が必要であるものの、攻撃の複雑さが低く設定されているため、認証情報を入手した攻撃者による悪用のリスクが高まっているのだ。

対策として、入力値のサニタイズ処理の徹底やコンテンツセキュリティポリシーの適切な設定が不可欠である。特にECサイトの管理画面では、商品情報や顧客データなど重要な情報を扱うため、XSS対策を含めた包括的なセキュリティ強化が求められるだろう。

今後のアップデートでは、入力値の検証機能の強化やセキュアコーディングガイドラインの遵守が期待される。PHPGurukulには、ECサイトの開発におけるセキュリティベストプラクティスの採用とともに、定期的な脆弱性診断の実施による問題の早期発見・対応の仕組みづくりが望まれる。

参考サイト

1. ^ CVE. 「CVE Record | CVE」. https://www.cve.org/CVERecord?id=CVE-2024-10747, (参照 24-11-07).

※上記コンテンツはAIで確認しておりますが、間違い等ある場合はコメントよりご連絡いただけますと幸いです。

「セキュリティ」に関するコラム一覧「セキュリティ」に関するニュース一覧