セキュリティ

SECURITY

公開：2024-11-20

【CVE-2024-45088】IBM Maximo Asset Management 7.6.1.3でXSS脆弱性が発見、認証情報漏洩のリスクに警戒

text: XEXEQ編集部
（記事は執筆時の情報に基づいており、現在では異なる場合があります）

記事の要約

• IBM Maximo Asset Management 7.6.1.3でXSS脆弱性が発見
• 認証済みユーザーによる悪意のあるJavaScriptコード埋め込みが可能
• 信頼済みセッション内での認証情報漏洩のリスクが存在

IBM Maximo Asset Management 7.6.1.3のXSS脆弱性が明らかに

IBMは2024年11月11日、IBM Maximo Asset Management 7.6.1.3においてクロスサイトスクリプティング（XSS）の脆弱性【CVE-2024-45088】を公開した。認証済みユーザーによってWeb UIに悪意のあるJavaScriptコードが埋め込まれ、本来の機能が改変される可能性が確認されている。^[1]

この脆弱性は共通脆弱性評価システム（CVSS）のバージョン3.1において、基本スコアが6.4（深刻度：中）と評価されており、攻撃元区分はネットワーク経由で攻撃条件の複雑さは低いとされている。認証された状態での攻撃が可能であり、信頼済みセッション内での認証情報漏洩のリスクが存在するだろう。

脆弱性の影響範囲は限定的であり、攻撃者には認証が必要となるものの、Web UIの改変によって正規ユーザーの認証情報が漏洩する可能性がある。IBMはこの脆弱性に対する修正プログラムを公開しており、影響を受けるバージョンを使用している組織は速やかな対応が推奨される。

IBM Maximo Asset Management 7.6.1.3の脆弱性詳細

IBM社の詳細情報はこちら

クロスサイトスクリプティングについて

クロスサイトスクリプティング（XSS）とは、Webアプリケーションの脆弱性の一種であり、主な特徴として以下のような点が挙げられる。

• 悪意のあるスクリプトをWebページに埋め込み実行可能
• ユーザーのブラウザ上で不正なコードが動作する
• セッション情報や認証情報の窃取が可能

クロスサイトスクリプティングは、IBM Maximo Asset Management 7.6.1.3において認証済みユーザーによる攻撃が可能となっており、Web UIに悪意のあるJavaScriptコードを埋め込むことで本来の機能が改変される可能性がある。この脆弱性は信頼済みセッション内での認証情報漏洩につながる可能性があり、影響を受けるバージョンを使用している組織は速やかな対応が必要とされている。

IBM Maximo Asset Management 7.6.1.3の脆弱性に関する考察

IBM Maximo Asset Management 7.6.1.3の脆弱性は、認証済みユーザーによる攻撃が必要という点で攻撃難度が比較的高く、影響範囲が限定的である点が評価できる。一方で一度攻撃が成功すると信頼済みセッション内での認証情報漏洩が可能となり、セキュリティインシデントに発展する可能性が高いだろう。

今後の課題として、Web UIにおける入力値の検証強化やサニタイズ処理の改善が必要となってくる。特にJavaScriptコードの実行を制限する仕組みや、認証済みユーザーの権限管理を見直すことで、同様の脆弱性の再発を防ぐことができるだろう。

また、製品のセキュリティ強化に向けて、定期的な脆弱性診断や外部からのセキュリティ監査の実施が望まれる。IBM Maximo Asset Managementは多くの企業で利用されている重要なシステムであり、継続的なセキュリティ対策の強化が期待される。

参考サイト

1. ^ CVE. 「CVE Record | CVE」. https://www.cve.org/CVERecord?id=CVE-2024-45088, (参照 24-11-20).
2. IBM. https://www.ibm.com/jp-ja

※上記コンテンツはAIで確認しておりますが、間違い等ある場合はコメントよりご連絡いただけますと幸いです。

「セキュリティ」に関するコラム一覧「セキュリティ」に関するニュース一覧