セキュリティ

SECURITY

公開：2024-11-22

【CVE-2024-45610】GLPIのバージョン10.0.0-10.0.16に未認証XSS脆弱性が発見、アップデートによる対策が必要に

text: XEXEQ編集部
（記事は執筆時の情報に基づいており、現在では異なる場合があります）

記事の要約

• GLPIで認証不要のXSS脆弱性が発見
• Cable.phpのフォームに反映型XSSが存在
• バージョン10.0.17へのアップデートで対策可能

GLPIのバージョン10.0.0-10.0.16におけるXSS脆弱性

オープンソースのIT資産管理ソフトウェアGLPIにおいて、重大なセキュリティ上の脆弱性が発見され、2024年11月15日に公開された。GLPIのCableフォームに存在する反映型クロスサイトスクリプティング脆弱性により、未認証の攻撃者が技術者に悪意のあるリンクを送信することで攻撃が可能となっている。^[1]

この脆弱性は【CVE-2024-45610】として識別されており、CVSSスコアは6.5（深刻度：中）と評価されている。攻撃者は認証を必要とせずにこの脆弱性を悪用できるが、攻撃の成功には技術者の操作が必要となるだろう。

GLPIはライセンス管理やソフトウェア監査などのITILサービスデスク機能を提供するツールであり、広く利用されている。この脆弱性に対する対策として、管理者はバージョン10.0.17へのアップデートを実施することが推奨される。

GLPIの脆弱性情報まとめ

クロスサイトスクリプティングについて

クロスサイトスクリプティング（XSS）とは、Webアプリケーションの脆弱性の一つで、攻撃者が悪意のあるスクリプトをWebページに挿入できる問題を指す。主な特徴として、以下のような点が挙げられる。

• ユーザーの入力値が適切にサニタイズされずにページに出力される
• 攻撃者はユーザーのセッション情報を窃取可能
• Webサイトの見た目や機能を改ざんすることが可能

GLPIの事例では、Cable.phpのフォームに存在する反映型XSSにより、攻撃者が技術者に悪意のあるリンクを送信することで攻撃が可能となっている。この種の脆弱性は入力値の適切なサニタイズやエスケープ処理によって防ぐことができ、GLPIの最新バージョンではこの問題が修正されている。

GLPIのXSS脆弱性に関する考察

GLPIのような広く利用されているIT資産管理ソフトウェアにXSS脆弱性が発見されたことは、セキュリティ管理の重要性を改めて示している。特に認証を必要としない攻撃が可能な点は、技術者を標的とした標的型攻撃に悪用される可能性が高く、早急な対応が望まれるだろう。

今後はセキュリティチェックの強化やコードレビューの徹底が必要となることが予想される。特にユーザー入力を扱うフォームやAjax通信部分については、入力値の検証やサニタイズ処理の実装を徹底することで、同様の脆弱性の発生を防ぐことができるだろう。

GLPIコミュニティには、セキュリティアップデートの迅速な提供と脆弱性情報の透明性の高い公開が求められる。オープンソースソフトウェアの特性を活かし、コミュニティ全体でセキュリティ意識を高めていくことが重要だ。

参考サイト

1. ^ CVE. 「CVE Record | CVE」. https://www.cve.org/CVERecord?id=CVE-2024-45610, (参照 24-11-22).

※上記コンテンツはAIで確認しておりますが、間違い等ある場合はコメントよりご連絡いただけますと幸いです。

「セキュリティ」に関するコラム一覧「セキュリティ」に関するニュース一覧