セキュリティ

SECURITY

公開：2024-11-22

【CVE-2024-49754】LibreNMSにXSS脆弱性が発見、API-Accessページでの任意コード実行が可能に

text: XEXEQ編集部
（記事は執筆時の情報に基づいており、現在では異なる場合があります）

記事の要約

• LibreNMSのAPI-Accessページに格納型XSSの脆弱性
• 認証済みユーザーがJavaScriptを注入可能
• LibreNMS 24.10.0で修正済み

LibreNMS 24.10.0未満のXSS脆弱性

オープンソースのネットワーク監視システムLibreNMSにおいて、API-Accessページに格納型クロスサイトスクリプティング（XSS）の脆弱性が発見され、2024年11月15日に公開された。認証済みユーザーがAPIトークン作成時のtokenパラメータを通じて任意のJavaScriptコードを注入できる脆弱性が存在することが判明している。^[1]

この脆弱性は【CVE-2024-49754】として識別されており、CWEによる脆弱性タイプはクロスサイトスクリプティング（CWE-79）に分類されている。NVDの評価によると、攻撃元区分はネットワークであり、攻撃条件の複雑さは低いとされ、攻撃には特権が必要だが利用者の関与が必要とされている。

CVSSスコアは7.5（High）と評価されており、他のユーザーのセッションコンテキストで悪意のあるコードを実行され、アカウントの乗っ取りや不正な操作が行われる可能性がある。LibreNMS開発チームは24.10.0でこの脆弱性に対する修正をリリースし、ユーザーに更新を推奨している。

LibreNMS脆弱性の詳細

クロスサイトスクリプティング（XSS）について

クロスサイトスクリプティング（XSS）とは、Webアプリケーションの脆弱性の一つであり、攻撃者が悪意のあるスクリプトコードをWebページに埋め込むことができる脆弱性のことを指す。主な特徴として以下のような点が挙げられる。

• ユーザーの入力値が適切にサニタイズされずにページに出力される
• 格納型とリフレクション型の2種類が存在する
• セッションハイジャックやフィッシング攻撃に悪用される可能性がある

クロスサイトスクリプティングは、OWASP Top 10にも含まれる重要な脆弱性の一つとして認識されており、LibreNMSの事例でも認証済みユーザーがAPIトークンのパラメータを介して悪意のあるスクリプトを注入できる状態にあった。この種の脆弱性は適切な入力値のバリデーションとエスケープ処理によって防ぐことが可能である。

LibreNMSの脆弱性に関する考察

認証済みユーザーの特権が必要とはいえ、API-Accessページという重要な機能に格納型XSSの脆弱性が存在していたことは、ネットワーク監視システムのセキュリティ上重大な問題となる。脆弱性を悪用されることでユーザーセッションの乗っ取りやネットワーク監視データへの不正アクセスが可能になるため、早急な対策が必要である。

今後はユーザー入力値に対する厳格なバリデーション処理の実装やセキュアコーディングガイドラインの徹底が求められる。特にAPI関連の機能は攻撃の標的になりやすい部分であり、定期的なセキュリティ監査や脆弱性診断の実施が重要になってくるだろう。

また、バージョン管理とセキュリティアップデートの迅速な適用も重要な課題となる。ネットワーク監視システムはインフラストラクチャの重要な部分を担っているため、セキュリティパッチの適用遅延がさらなるリスクを招く可能性がある。開発チームとユーザーコミュニティの緊密な連携が必要だ。

参考サイト

1. ^ CVE. 「CVE Record | CVE」. https://www.cve.org/CVERecord?id=CVE-2024-49754, (参照 24-11-22).

※上記コンテンツはAIで確認しておりますが、間違い等ある場合はコメントよりご連絡いただけますと幸いです。

「セキュリティ」に関するコラム一覧「セキュリティ」に関するニュース一覧