セキュリティ

SECURITY

公開：2024-11-21

【CVE-2024-45611】GLPIにストアードXSSの脆弱性が発見、version 10.0.17で修正されたアクセス制御の問題に対応

text: XEXEQ編集部
（記事は執筆時の情報に基づいており、現在では異なる場合があります）

記事の要約

• GLPIにストアードXSSの脆弱性が発見
• 認証済みユーザーが他のアカウントのRSSフィードを作成可能
• GLPI 10.0.17へのアップグレードで対応

GLPI 10.0.17未満のバージョンでストアードXSSの脆弱性が判明

GitHubは2024年11月15日、資産・IT管理ソフトウェアGLPIにおいてストアードXSSの脆弱性【CVE-2024-45611】を発見したことを公開した。認証済みユーザーがアクセス制御ポリシーをバイパスし、他のユーザーアカウントに紐付いた非公開RSSフィードを作成できる問題が確認されている。^[1]

脆弱性はCVSS 3.1でスコア5.7（深刻度：中）と評価されており、攻撃元区分はネットワーク経由となっている。攻撃には特権レベルが必要だが、攻撃条件の複雑さは低く、ユーザーの関与が必要とされる脆弱性だ。

この脆弱性は、version 0.84から10.0.17未満のすべてのバージョンに影響を与えることが確認されている。GLPIユーザーは早急にversion 10.0.17へアップグレードを実施することが推奨されるだろう。

GLPI 10.0.17の脆弱性情報まとめ

ストアードXSSについて

ストアードXSSとは永続的クロスサイトスクリプティングとも呼ばれ、悪意のあるスクリプトがWebアプリケーションのデータベースやファイルシステムに保存される脆弱性のことを指す。主な特徴として、以下のような点が挙げられる。

• 悪意のあるスクリプトがサーバーに永続的に保存される
• 保存されたスクリプトが他のユーザーのブラウザで実行される
• 反射型XSSと比べて影響範囲が広く、深刻度が高い

GLPIの脆弱性では、認証済みユーザーが他のアカウントに紐付いた非公開RSSフィードを作成し、悪意のあるペイロードを含めることでストアードXSSを引き起こすことができる。この攻撃は複数のユーザーに影響を与える可能性があり、情報漏洩やセッションハイジャックなどのリスクがある。

GLPI 10.0.17のセキュリティアップデートに関する考察

今回のセキュリティアップデートでは、認証済みユーザーによるアクセス制御ポリシーのバイパスを防ぐ対策が実装された点が評価できる。RSSフィードの作成における権限管理が強化されることで、ユーザーアカウント間の不正なアクセスが防止され、システム全体のセキュリティレベルが向上している。

今後はRSSフィード機能に限らず、ユーザー間のデータ共有やアクセス制御に関する脆弱性が発見される可能性があるため、定期的なセキュリティ監査の実施が重要となるだろう。特にユーザー認証後の権限管理については、より厳密な制御メカニズムの実装が望まれる。

GLPIの開発チームには、今回のような脆弱性に対する迅速な対応を継続しつつ、セキュリティ機能の強化に注力することが期待される。特にITILベースのサービスデスク機能を提供するソフトウェアとして、エンタープライズレベルのセキュリティ要件を満たすことが重要だ。

参考サイト

1. ^ CVE. 「CVE Record | CVE」. https://www.cve.org/CVERecord?id=CVE-2024-45611, (参照 24-11-21).

※上記コンテンツはAIで確認しておりますが、間違い等ある場合はコメントよりご連絡いただけますと幸いです。

「セキュリティ」に関するコラム一覧「セキュリティ」に関するニュース一覧