セキュリティ

SECURITY

公開：2024-11-22

【CVE-2024-41678】GLPIに反映型XSSの脆弱性が発見、バージョン10.0.17へのアップグレードで対応可能に

text: XEXEQ編集部
（記事は執筆時の情報に基づいており、現在では異なる場合があります）

記事の要約

• GLPIに反映型XSSの脆弱性が発見される
• バージョン10.0.17へのアップグレードで対応可能
• 認証不要で悪意のあるリンクを技術者に送信可能

GLPIバージョン10.0.17未満の反映型XSS脆弱性

GitHub Security Advisoriesは2024年11月15日、資産・IT管理ソフトウェアパッケージのGLPIにおいて、反映型XSS（クロスサイトスクリプティング）の脆弱性【CVE-2024-41678】を公開した。GLPIバージョン0.50から10.0.17未満のバージョンで、認証されていないユーザーが技術者に悪意のあるリンクを送信できる脆弱性が確認されている。^[1]

この脆弱性は、CVSSスコアが6.5（中程度）と評価されており、ネットワーク経由でのアクセスが可能で攻撃の複雑さは低いとされている。攻撃には特権は不要だが、ユーザーの関与が必要とされており、機密性への影響が高いと判断されているのだ。

SSVCによる評価では、自動化された攻撃は確認されておらず、技術的な影響は部分的であるとされている。GLPIを使用している組織は、早急にバージョン10.0.17へのアップグレードを実施することで、この脆弱性から保護されることが推奨されている。

GLPIの脆弱性情報まとめ

GLPIの脆弱性情報の詳細はこちら

反映型XSSについて

反映型XSSとは、Webアプリケーションの脆弱性の一つで、ユーザーから送信された悪意のあるスクリプトがそのままWebページに反映されてしまう問題のことを指す。主な特徴として、以下のような点が挙げられる。

• ユーザー入力が適切にサニタイズされずに出力される
• 攻撃者が作成した悪意のあるURLを介して実行される
• セッション情報の窃取やフィッシング攻撃に悪用される可能性がある

GLPIの脆弱性では、認証されていないユーザーが技術者に悪意のあるリンクを送信することで、反映型XSS攻撃が可能になることが判明している。この脆弱性は特権レベルが不要で攻撃条件の複雑さも低いため、早急な対応が推奨されているのだ。

GLPIの脆弱性対応に関する考察

GLPIの反映型XSS脆弱性は、認証不要で技術者に悪意のあるリンクを送信できる点が重大な問題となっている。資産管理やIT管理の重要なツールであるGLPIにおいて、認証されていないユーザーからの攻撃が可能な状態は組織のセキュリティリスクを高める要因となるだろう。

今後は入力値のバリデーションやサニタイズ処理の強化が求められるが、その実装によってはユーザビリティが低下する可能性もある。開発チームには、セキュリティと使いやすさのバランスを考慮した対策の実装が期待されているのだ。

また、GLPIの利用組織には定期的なバージョン管理とセキュリティアップデートの適用が不可欠となる。特に今回のような認証不要の脆弱性は、組織の資産管理システム全体に影響を及ぼす可能性があるため、脆弱性情報の監視体制の強化も重要な課題となるだろう。

参考サイト

1. ^ CVE. 「CVE Record | CVE」. https://www.cve.org/CVERecord?id=CVE-2024-41678, (参照 24-11-22).

※上記コンテンツはAIで確認しておりますが、間違い等ある場合はコメントよりご連絡いただけますと幸いです。

「セキュリティ」に関するコラム一覧「セキュリティ」に関するニュース一覧