【CVE-2024-50355】LibreNMSに永続的XSSの脆弱性、デバイス表示名の入力処理に不備が発見される

text: XEXEQ編集部
（記事は執筆時の情報に基づいており、現在では異なる場合があります）

記事の要約

LibreNMSにPersistent XSSの脆弱性が発見される
デバイス表示名の入力サニタイズに不備
LibreNMS 24.10.0でセキュリティ修正を実施

LibreNMS 24.10.0以前のバージョンにおける脆弱性

オープンソースのネットワーク監視システムLibreNMSにおいて、デバイス表示名の入力処理に関する重大な脆弱性が2024年11月15日に公開された。Admin権限を持つユーザーがデバイスの表示名を編集する際にJavaScriptコードを含めることで異なるソースから実行可能となり、深刻なセキュリティリスクが発生する可能性があることが判明している。^[1]

この脆弱性は【CVE-2024-50355】として識別されており、CVSSスコアは4.8（Medium）と評価されている。攻撃元区分はネットワークであり、攻撃条件の複雑さは低いとされているが、攻撃には高い特権レベルとユーザーの関与が必要となることが特徴だ。

LibreNMSの開発チームは迅速な対応を行い、バージョン24.10.0にてこの脆弱性を修正するセキュリティアップデートを提供している。修正されたバージョンでは入力値の適切なサニタイズ処理が実装され、JavaScriptコードの不正な実行を防止する機能が強化された。

LibreNMSの脆弱性詳細

項目	詳細
CVE番号	CVE-2024-50355
影響を受けるバージョン	24.10.0未満
脆弱性の種類	Persistent XSS
CVSSスコア	4.8（Medium）
必要な権限	Admin権限
修正バージョン	24.10.0

Persistent XSSについて

Persistent XSS（永続的クロスサイトスクリプティング）とは、Webアプリケーションの脆弱性の一種であり、悪意のあるスクリプトがサーバーに永続的に保存され、後に他のユーザーがアクセスした際に実行される攻撃手法のことを指す。主な特徴として、以下のような点が挙げられる。

サーバーにスクリプトが保存され続ける
複数のユーザーに影響を及ぼす可能性がある
入力値の適切なサニタイズで防止可能

LibreNMSの脆弱性では、管理者権限を持つユーザーがデバイスの表示名にJavaScriptコードを埋め込むことで、永続的なXSS攻撃が可能となっていた。修正バージョンでは入力値の適切なサニタイズ処理が実装され、この種の攻撃を防止する機能が強化されている。

LibreNMSの脆弱性に関する考察

LibreNMSの今回の脆弱性は、管理者権限が必要という点で直接的な被害の拡大リスクは限定的であるものの、高い権限を持つユーザーによる悪用の可能性があるという点で深刻な問題を提起している。ネットワーク監視システムという性質上、企業の重要なインフラ情報を扱う可能性が高く、セキュリティ対策の重要性を再認識する機会となったのだ。

今後は入力値のサニタイズ処理だけでなく、権限を持つユーザーの操作ログの詳細な記録や定期的なセキュリティ監査の実施など、多層的な防御策の実装が必要となるだろう。特に管理者権限を持つユーザーの行動を監視する仕組みの強化は、内部からの攻撃を防ぐ上で重要な課題となっている。

また、オープンソースプロジェクトとしてのLibreNMSには、コミュニティによる積極的なセキュリティレビューと迅速な脆弱性対応が期待される。今回のような脆弱性の発見と修正のプロセスを通じて、より堅牢なセキュリティ体制を構築することが望ましい。