【CVE-2024-9443】Basticom Framework 1.5.0にXSS脆弱性が発見、SVGファイルを介した攻撃の可能性が浮上

text: XEXEQ編集部
（記事は執筆時の情報に基づいており、現在では異なる場合があります）

記事の要約

Basticom Framework 1.5.0以前のバージョンで脆弱性が発見
認証済みユーザーがSVGファイルを通じてXSS攻撃が可能
CVSSスコア6.4でMEDIUMレベルの深刻度と評価

Basticom Framework 1.5.0のXSS脆弱性

Wordfenceは2024年11月5日、WordPressプラグインBasticom Framework 1.5.0以前のバージョンに格納型クロスサイトスクリプティング脆弱性が存在することを公開した。この脆弱性は【CVE-2024-9443】として識別されており、作者以上の権限を持つユーザーがSVGファイルのアップロードを通じてWebスクリプトを注入できる問題が確認されている。^[1]

脆弱性の主な原因は、入力サニタイズと出力エスケープが不十分であることに起因している。攻撃者はSVGファイルのアップロード機能を悪用してマルウェアを仕込むことが可能であり、アップロードされたSVGファイルにアクセスした他のユーザーの環境で不正なスクリプトが実行される危険性がある。

この脆弱性に対するCVSSスコアは6.4（MEDIUM）と評価されており、攻撃の複雑さは低いものの、攻撃者には認証が必要とされている。そのため、適切なアクセス制御と入力検証を実装することで、リスクを大幅に軽減することが可能だと考えられる。

Basticom Framework脆弱性の影響範囲まとめ

項目	詳細
影響を受けるバージョン	1.5.0以前のすべてのバージョン
CVSSスコア	6.4（MEDIUM）
必要な権限	Author以上の権限が必要
脆弱性の種類	格納型クロスサイトスクリプティング（Stored XSS）
攻撃の複雑さ	Low（低い）

クロスサイトスクリプティングについて

クロスサイトスクリプティングとは、Webアプリケーションの脆弱性を悪用して、サイト閲覧者のブラウザ上で不正なスクリプトを実行させる攻撃手法のことを指す。主な特徴として、以下のような点が挙げられる。

入力値の不適切な検証による脆弱性の発生
ユーザーセッションの盗取やマルウェア感染のリスク
サイト利用者の情報漏洩や不正操作の可能性

クロスサイトスクリプティングは入力値のサニタイズと出力のエスケープが不十分な場合に発生する脆弱性であり、特に格納型の場合はサーバーに悪意のあるスクリプトが保存される。Basticom Frameworkの場合、SVGファイルのアップロード機能を通じて攻撃コードが挿入され、他のユーザーがそのファイルにアクセスした際に不正なスクリプトが実行される仕組みとなっている。

Basticom Framework脆弱性に関する考察

WordPressプラグインの脆弱性は、サイト全体のセキュリティに大きな影響を及ぼす可能性がある重要な問題である。Basticom Frameworkの場合、認証済みユーザーによる攻撃に限定されているものの、一度成功すれば複数のユーザーに影響を与える可能性があり、特に大規模なWordPressサイトでは深刻な被害につながる危険性が高いだろう。

今後はSVGファイルのアップロードに対する厳密な検証と、アップロードされたファイルの適切なサニタイズ処理が必要不可欠となる。特にWordPressのマルチユーザー環境では、ユーザー権限の適切な制御と組み合わせることで、より強固なセキュリティ対策を実現できるはずだ。

また、プラグイン開発者はXSS対策のベストプラクティスを積極的に取り入れ、定期的なセキュリティ監査を実施することが望まれる。特にファイルアップロード機能は攻撃の対象となりやすいため、入力値の検証とサニタイズ処理を徹底的に実装する必要があるだろう。