【CVE-2024-10839】ManageEngine SharePoint Manager Plusに認証済みXXE脆弱性、CVSSスコア8.5の深刻な問題に

text: XEXEQ編集部
（記事は執筆時の情報に基づいており、現在では異なる場合があります）

記事の要約

ManageEngine SharePoint Manager Plusに認証済みXXE脆弱性
バージョン4503以前が影響を受ける深刻な脆弱性
Management optionで発見されたセキュリティ上の欠陥

ManageEngine SharePoint Manager Plus 4503のXXE脆弱性

ManageEngineは2024年11月8日にSharePoint Manager Plusのバージョン4503以前に影響する認証済みXML外部エンティティ参照（XXE）の脆弱性が発見されたことを公開した。この脆弱性はManagement optionにおいて確認され、CVSSスコア8.5の深刻度の高い脆弱性として【CVE-2024-10839】が割り当てられている。^[1]

この脆弱性の技術的影響度はCWE-611に分類され、攻撃者は認証情報さえ所持していれば容易に悪用できる可能性がある。CVSSベクトルによると攻撃元区分はネットワークであり、攻撃の複雑さは低く、特権レベルは低いとされている。

NSFOCUS TIANJI Labの研究者Zewei Zhangによって発見されたこの脆弱性は、SSVCの評価では技術的な影響が部分的であるとされている。ManageEngineは公式サイトで脆弱性の詳細と対策について公開しており、影響を受けるバージョンのユーザーに早急な対応を呼びかけている。

SharePoint Manager Plus 4503の脆弱性詳細

項目	詳細
CVE番号	CVE-2024-10839
影響を受けるバージョン	4503以前のすべてのバージョン
CVSSスコア	8.5（High）
脆弱性の種類	XML外部エンティティ（XXE）
技術的影響	部分的
発見者	Zewei Zhang (NSFOCUS TIANJI Lab)

脆弱性の詳細はこちら

XML外部エンティティについて

XML外部エンティティ（XXE）とは、XMLの外部エンティティ機能を悪用した攻撃手法のことを指す。主な特徴として、以下のような点が挙げられる。

XMLパーサーを介して外部リソースを読み込む機能の悪用
機密情報の漏洩やサービス拒否攻撃のリスク
認証されたユーザーによる悪用の可能性

SharePoint Manager Plusで発見されたXXE脆弱性は、認証済みユーザーがManagement optionを通じて攻撃を実行できる可能性がある。この脆弱性はCVSSスコア8.5と評価され、機密情報の漏洩やシステムの可用性に影響を与える可能性があるため、早急な対応が推奨される。

ManageEngine SharePoint Manager Plus脆弱性に関する考察

ManageEngine SharePoint Manager Plusの認証済みXXE脆弱性は、SharePointの管理ツールとしての重要性を考慮すると深刻な問題となる可能性がある。多くの企業でSharePointが重要な文書管理基盤として利用されている現状を踏まえると、この脆弱性を放置することは組織の機密情報漏洩リスクを高める結果となるだろう。

今後はXML処理におけるセキュリティ対策の強化が必要不可欠となる。特にXMLパーサーの設定見直しや外部エンティティ参照の制限など、より堅牢なセキュリティ機能の実装が求められるだろう。さらに、認証済みユーザーによる攻撃も想定した多層的な防御メカニズムの構築も検討に値する。

ManageEngineには継続的なセキュリティアップデートの提供とともに、脆弱性スキャン機能の強化も期待したい。SharePoint環境全体のセキュリティ状態を可視化し、潜在的な脅威を早期に発見できる機能の実装は、今後のバージョンアップで重要な要素となるだろう。