セキュリティ

SECURITY

公開：2024-11-27

【CVE-2024-11493】115cms v20240807でクロスサイトスクリプティングの脆弱性が発見、ベンダーの対応が課題に

text: XEXEQ編集部
（記事は執筆時の情報に基づいており、現在では異なる場合があります）

記事の要約

• 115cmsに深刻なクロスサイトスクリプティングの脆弱性
• pageAE.htmlのtid引数による攻撃が可能
• ベンダーは連絡に対して無反応のまま公開

115cms v20240807のクロスサイトスクリプティング脆弱性が発見

2024年11月20日、115cmsのバージョン20240807以前において、/index.php/setpage/admin/pageAE.htmlファイルに深刻な脆弱性が発見された。この脆弱性は【CVE-2024-11493】として識別されており、tid引数の操作によってクロスサイトスクリプティング攻撃が可能となることが明らかになっている。^[1]

この脆弱性はリモートから攻撃を開始することが可能であり、既に一般に公開されているため悪用のリスクが高まっている。脆弱性の深刻度はCVSS v4.0で5.3（MEDIUM）と評価されており、攻撃者は低い特権レベルで攻撃を実行することが可能となっている。

ベンダーには早期に脆弱性情報が開示されていたものの、現時点で何の対応も行われていない状況が続いている。また、CWE（共通脆弱性タイプ一覧）では、CWE-79（クロスサイトスクリプティング）とCWE-94（コードインジェクション）の2つのカテゴリに分類されている。

115cms v20240807の脆弱性詳細

クロスサイトスクリプティングについて

クロスサイトスクリプティングとは、Webアプリケーションの脆弱性を悪用して、利用者のブラウザ上で不正なスクリプトを実行させる攻撃手法のことを指す。主な特徴として、以下のような点が挙げられる。

• ユーザーの入力値を適切にサニタイズせずに出力する脆弱性を利用
• 攻撃者は被害者のセッション情報やクッキーを窃取可能
• Webサイトの見た目を改ざんしてフィッシング詐欺に悪用される可能性

115cmsの脆弱性は、tid引数に対する不適切な入力値の検証が原因となっており、攻撃者によって任意のJavaScriptコードが実行される可能性がある。この種の攻撃は管理画面に対して実行される可能性が高く、情報漏洩やシステムの改ざんなど重大な被害につながるおそれがある。

115cms v20240807の脆弱性に関する考察

115cmsの脆弱性対応におけるベンダーの消極的な姿勢は、ユーザーのセキュリティリスクを著しく高める結果となっている。早期の脆弱性情報開示にもかかわらず対応が行われていない状況は、攻撃者に悪用の機会を与え続けることになるため、早急な対策パッチの提供が望まれる。

今後同様の脆弱性を防ぐためには、開発段階での入力値の適切な検証とサニタイズ処理の実装が不可欠となっている。特にtid引数のような管理機能に関わるパラメータについては、より厳密な入力値チェックと適切なエスケープ処理を実装する必要があるだろう。

セキュリティ研究者とベンダー間のコミュニケーション改善も重要な課題となっている。責任ある脆弱性の開示と迅速な対応体制の構築によって、より安全なCMSの運用が実現できるはずだ。ユーザー企業は、セキュリティアップデートへの対応体制を整えつつ、WAFなどの追加的な防御層の導入を検討する必要がある。

参考サイト

1. ^ CVE. 「CVE Record | CVE」. https://www.cve.org/CVERecord?id=CVE-2024-11493, (参照 24-11-27).

※上記コンテンツはAIで確認しておりますが、間違い等ある場合はコメントよりご連絡いただけますと幸いです。

「セキュリティ」に関するコラム一覧「セキュリティ」に関するニュース一覧