セキュリティ

SECURITY

公開：2024-11-22

【CVE-2024-49758】LibreNMS 24.10.0未満でストアドXSSの脆弱性が発見、ExamplePluginのデバイスNotes機能に深刻な影響

text: XEXEQ編集部
（記事は執筆時の情報に基づいており、現在では異なる場合があります）

記事の要約

• LibreNMSにストアドXSSの脆弱性が発見
• デバイスのNotesにJavaScriptコードが実行可能
• LibreNMS 24.10.0で修正済み

LibreNMS 24.10.0未満のストアドXSS脆弱性

オープンソースのネットワーク監視システムLibreNMSにおいて、重大な脆弱性【CVE-2024-49758】が2024年11月15日に公開された。LibreNMSのExamplePluginにおいて、管理者権限を持つユーザーがデバイスにNotesを追加する際のユーザー入力が適切にサニタイズされておらず、JavaScriptコードが実行可能な状態となっていることが判明したのである。^[1]

この脆弱性は、CVSSスコア4.8（CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:C/C:L/I:L/A:N）の中程度の深刻度と評価されており、ネットワークからアクセス可能で攻撃の複雑さは低いとされている。攻撃には管理者権限が必要であり、ユーザーの操作も必要となるが、クロスサイトスクリプティングによって情報漏洩やデータの改ざんのリスクが存在するのだ。

LibreNMSの開発チームは迅速に対応し、バージョン24.10.0においてこの脆弱性を修正するセキュリティアップデートを提供している。SSVCの評価によると、この脆弱性の自動的な悪用は困難であるものの、システムへの部分的な影響が及ぶ可能性があることが指摘されている。

LibreNMS 24.10.0の脆弱性情報まとめ

LibreNMSの脆弱性情報の詳細はこちら

クロスサイトスクリプティングについて

クロスサイトスクリプティング（XSS）とは、Webアプリケーションの脆弱性を悪用して、ユーザーのブラウザ上で不正なスクリプトを実行する攻撃手法のことを指す。主な特徴として、以下のような点が挙げられる。

• ユーザー入力値の不適切な処理が原因
• 攻撃者による悪意のあるスクリプト実行が可能
• セッション情報の窃取やフィッシング詐欺に悪用される

LibreNMSの脆弱性は、管理者がデバイスのNotesにJavaScriptコードを含める際にサニタイズ処理が不十分であることが原因となっている。ExamplePluginが有効化されている環境では、入力されたJavaScriptコードが実行可能な状態となり、システムやユーザーの情報が危険にさらされる可能性があるのだ。

LibreNMS 24.10.0の脆弱性対応に関する考察

LibreNMSにおける今回の脆弱性対応は、管理者権限を持つユーザーに限定された影響範囲という点で被害の拡大を抑制できる要素となっている。しかしながら、管理者権限を持つアカウントが侵害された場合、ストアドXSSを通じて重要なシステム情報が漏洩するリスクが存在するため、アカウント管理の重要性が改めて浮き彫りとなったのだ。

今後は、ユーザー入力値のサニタイズ処理をより強化し、プラグインの有効化状態に関わらずセキュアな状態を維持できる実装が求められる。特にExamplePluginのようなテスト用コンポーネントについては、本番環境での使用を制限するなど、より厳格な運用ガイドラインの策定が必要となるだろう。

また、LibreNMSのセキュリティ対策としては、プラグインのセキュリティレビュープロセスの確立や、定期的な脆弱性診断の実施が重要となる。今後は、コミュニティベースの開発においてもセキュリティを重視した品質管理体制の構築が期待されるのだ。

参考サイト

1. ^ CVE. 「CVE Record | CVE」. https://www.cve.org/CVERecord?id=CVE-2024-49758, (参照 24-11-22).

※上記コンテンツはAIで確認しておりますが、間違い等ある場合はコメントよりご連絡いただけますと幸いです。

「セキュリティ」に関するコラム一覧「セキュリティ」に関するニュース一覧