【CVE-2024-9147】Bna InformaticsのPosPratikにXSS脆弱性が発見、v3.2.1未満のバージョンが影響を受ける事態に

text: XEXEQ編集部
（記事は執筆時の情報に基づいており、現在では異なる場合があります）

記事の要約

Bna InformaticsのPosPratikにHTMLインジェクション脆弱性
HTTPクエリ文字列を介したXSS攻撃が可能に
v3.2.1未満のバージョンが影響を受ける

PosPratikのXSS脆弱性

TR-CERTは2024年11月4日、Bna InformaticsのPosPratikにHTMLインジェクションの脆弱性が発見されたことを公開した。PosPratikのv3.2.1未満のバージョンでは、HTTPクエリ文字列を介してXSS攻撃が可能となる脆弱性【CVE-2024-9147】が確認されており、この脆弱性は基本的なXSSに分類されている。^[1]

CVSSスコアは6.9（Medium）と評価されており、攻撃元区分はネットワークで攻撃条件の複雑さは低いとされている。また攻撃に必要な特権レベルは不要であり、利用者の関与が必要とされているが、影響の想定範囲に変更があるとされている。

TR-CERTはこの脆弱性を「CWE-80: スクリプト関連のHTMLタグのWeb上での不適切な無効化」として分類している。USOMの評価によると、既存の技術で脆弱性を悪用することは困難だが、自動化された攻撃が可能であり、システムへの部分的な影響が予想されている。

PosPratikの脆弱性情報まとめ

項目	詳細
CVE番号	CVE-2024-9147
影響を受けるバージョン	v3.2.1未満
脆弱性の種類	HTMLインジェクション（基本的なXSS）
CVSSスコア	6.9（Medium）
CWE分類	CWE-80
攻撃条件	特権不要、利用者の関与が必要

脆弱性情報の詳細はこちら

XSSについて

XSSとは「Cross-Site Scripting」の略称で、Webアプリケーションの脆弱性を悪用して悪意のあるスクリプトを注入する攻撃手法のことを指す。主な特徴として、以下のような点が挙げられる。

ユーザーの入力値が適切にサニタイズされていない場合に発生
Cookie情報の窃取やセッションハイジャックが可能
ユーザーブラウザ上で不正なスクリプトが実行される

PosPratikで発見された脆弱性は、HTTPクエリ文字列を介したXSS攻撃が可能となるもので、CWE-80に分類される基本的なXSS脆弱性である。TR-CERTの評価では、既存の技術で脆弱性を悪用することは困難だが自動化された攻撃が可能であり、システムへの部分的な影響が予想されている。

PosPratikの脆弱性に関する考察

PosPratikにおけるXSS脆弱性の発見は、Webアプリケーションのセキュリティ対策における入力値のサニタイズの重要性を再認識させる出来事となった。HTTPクエリ文字列を介した攻撃が可能という特性上、一般的なWebアプリケーションの利用シーンで攻撃が実行される可能性があり、早急な対応が必要となるだろう。

今後は同様の脆弱性を防ぐため、開発段階でのセキュリティテストの強化とコードレビューの徹底が求められる。特にユーザー入力を処理する部分については、WAFやセキュリティスキャナーを活用した継続的な脆弱性チェックが重要となってくるだろう。

XSS脆弱性は比較的基本的な攻撃手法であるにもかかわらず、依然として多くのWebアプリケーションで発見されている。開発者向けのセキュリティ教育の充実と、セキュアコーディングガイドラインの整備が今後の課題となるはずだ。