セキュリティ

SECURITY

公開：2024-11-22

【CVE-2024-45609】GLPIのバージョン10.0.17未満に反射型XSS脆弱性、レポートページでの攻撃が可能に

text: XEXEQ編集部
（記事は執筆時の情報に基づいており、現在では異なる場合があります）

記事の要約

• GLPIのFront/Stat.Graph.phpにXSS脆弱性を発見
• 非認証ユーザーによる技術者向け悪意のあるリンク攻撃が可能
• GLPI 10.0.17へのアップグレードで対策可能

GLPIのバージョン10.0.17未満におけるXSS脆弱性

GLPIプロジェクトは資産・IT管理ソフトウェアパッケージGLPIにおいて、レポートページに存在する反射型XSS脆弱性【CVE-2024-45609】を2024年11月15日に公開した。非認証ユーザーがGLPI技術者に対して悪意のあるリンクを提供することで脆弱性を悪用できる状態にあることが判明している。^[1]

この脆弱性はCVSS v3.1で基本スコア6.5の中程度の深刻度と評価されており、攻撃元区分はネットワーク経由で攻撃条件の複雑さは低いとされている。特権レベルは不要だが利用者の関与が必要で、機密性への影響が高いことが確認されているのだ。

SSVCによる評価では、エクスプロイトの自動化は不可能とされ、技術的影響は部分的であると判断された。GLPIプロジェクトはバージョン10.0.17へのアップグレードによって脆弱性が修正されることを発表しており、早急な対応が推奨される。

GLPIバージョン10.0.17のセキュリティ情報まとめ

反射型XSSについて

反射型XSSとは、Webアプリケーションにおける代表的な脆弱性の一つで、攻撃者が悪意のあるスクリプトを含むURLを作成し、ユーザーがそのURLにアクセスした際にスクリプトが実行される攻撃手法のことを指す。主な特徴として、以下のような点が挙げられる。

• URLパラメータを介して悪意のあるスクリプトを注入
• ユーザーの操作を必要とする攻撃手法
• セッションハイジャックやクッキー窃取などの攻撃が可能

GLPIの脆弱性では、Front/Stat.Graph.phpにおいて適切な入力検証が行われていないことが問題となっている。非認証ユーザーが技術者に悪意のあるリンクを送信することで、技術者のブラウザ上で不正なスクリプトが実行される可能性があるため、早急なバージョンアップによる対策が必要だ。

GLPIのXSS脆弱性対策に関する考察

GLPIの反射型XSS脆弱性は、特権が不要かつ攻撃条件の複雑さが低いという点で重要な問題である。レポートページという業務上重要な機能に存在する脆弱性は、技術者のアカウントが危殆化するリスクを伴うため、システム管理者は早急なアップデートの適用を検討する必要があるだろう。

今後の課題として、入力値の検証やサニタイズ処理の徹底が挙げられる。特にURLパラメータを扱う機能については、開発段階での厳密なセキュリティレビューと定期的な脆弱性診断の実施が重要となるため、GLPIプロジェクトにはより強固なセキュリティ体制の構築が望まれる。

また、脆弱性が発見された場合の迅速な対応と情報公開も重要な課題となる。CVSSスコアによる適切なリスク評価と、ユーザーへの明確な対応指針の提示により、セキュリティインシデントの影響を最小限に抑えることが期待できるだろう。

参考サイト

1. ^ CVE. 「CVE Record | CVE」. https://www.cve.org/CVERecord?id=CVE-2024-45609, (参照 24-11-22).

※上記コンテンツはAIで確認しておりますが、間違い等ある場合はコメントよりご連絡いただけますと幸いです。

「セキュリティ」に関するコラム一覧「セキュリティ」に関するニュース一覧