セキュリティ

SECURITY

公開：2024-11-19

【CVE-2024-47594】SAP NetWeaver Enterprise Portal KMC 7.5にXSS脆弱性、セッション情報漏洩のリスクに注意

text: XEXEQ編集部
（記事は執筆時の情報に基づいており、現在では異なる場合があります）

記事の要約

• SAP NetWeaver Enterprise PortalにXSS脆弱性が発見
• ユーザー制御入力の不十分なエンコードが原因
• KMCサーブレットでセッション情報が漏洩する可能性

SAP NetWeaver Enterprise Portal KMC 7.5のXSS脆弱性

SAPは2024年10月8日、SAP NetWeaver Enterprise Portal KMC 7.5にクロスサイトスクリプティング脆弱性が存在することを公表した。この脆弱性は【CVE-2024-47594】として識別されており、ユーザー制御入力の不十分なエンコードに起因する問題であることが明らかになっている。^[1]

攻撃者は細工されたスクリプトを作成してユーザーにクリックさせることで、ポータルに登録されている被害者のWebブラウザセッションの機密性と整合性が損なわれる可能性がある。この脆弱性はCVSSスコア5.4の中程度の深刻度と評価されており、早急な対応が推奨される。

この脆弱性はKMCサーブレットに存在しており、攻撃には攻撃者による特権レベルとユーザーの操作が必要となる。SAPはセキュリティパッチを公開しており、影響を受けるバージョンのユーザーはアップデートを適用することで脆弱性に対処することができる。

SAP NetWeaver Enterprise Portal KMC 7.5の脆弱性詳細

詳細な情報はこちら

クロスサイトスクリプティングについて

クロスサイトスクリプティングとは、Webアプリケーションの脆弱性の一種であり、攻撃者が悪意のあるスクリプトをWebページに挿入できる問題のことを指す。主な特徴として以下のような点が挙げられる。

• ユーザーの入力値が適切にサニタイズされずにHTML出力される
• 攻撃成功時にユーザーのセッション情報が漏洩する可能性がある
• Webブラウザ上で悪意のあるスクリプトが実行される

SAP NetWeaver Enterprise Portal KMCの事例では、KMCサーブレットにおけるユーザー入力の不適切な処理が原因となっている。攻撃者は細工されたスクリプトを作成し、ポータルに登録されているユーザーにクリックさせることで、そのユーザーのブラウザセッションを危険にさらす可能性がある。

SAP NetWeaver Enterprise Portal KMCの脆弱性に関する考察

SAP NetWeaver Enterprise Portalの脆弱性対策として、入力値のサニタイズ処理の強化やセッション管理の改善が重要である。特にKMCサーブレットでの入力処理においては、HTMLエンコーディングやXSSフィルタリングなどの対策を適切に実装する必要があるだろう。

今後の課題として、ユーザー入力を処理する際のセキュリティチェックの強化や、定期的なセキュリティ監査の実施が挙げられる。また、開発者向けのセキュリティトレーニングを通じて、安全なコーディング規約の徹底と脆弱性対策の意識向上を図ることも重要だ。

長期的な対策としては、セキュリティテストの自動化やCI/CDパイプラインへのセキュリティスキャンの組み込みが有効である。これにより、開発段階での脆弱性の早期発見と迅速な対応が可能となり、製品のセキュリティレベル向上につながるだろう。

参考サイト

1. ^ CVE. 「CVE Record | CVE」. https://www.cve.org/CVERecord?id=CVE-2024-47594, (参照 24-11-19).
2. SAP. https://www.sap.com/japan/index.html

※上記コンテンツはAIで確認しておりますが、間違い等ある場合はコメントよりご連絡いただけますと幸いです。

「セキュリティ」に関するコラム一覧「セキュリティ」に関するニュース一覧