セキュリティ

SECURITY

公開：2024-12-12

【CVE-2024-12180】DedeCMS 5.7.116でクロスサイトスクリプティングの脆弱性を確認、遠隔攻撃のリスクに注意

text: XEXEQ編集部
（記事は執筆時の情報に基づいており、現在では異なる場合があります）

記事の要約

• DedeCMS 5.7.116にクロスサイトスクリプティングの脆弱性
• article_add.phpファイルに関する脆弱性が確認
• 遠隔からの攻撃が可能で公開済みの脆弱性

DedeCMS 5.7.116のクロスサイトスクリプティング脆弱性を確認

セキュリティ企業のVulDBは2024年12月4日、コンテンツ管理システムDedeCMS 5.7.116にクロスサイトスクリプティングの脆弱性が存在することを発表した。この脆弱性は【CVE-2024-12180】として識別されており、/member/article_add.phpファイルの引数bodyの操作によってクロスサイトスクリプティング攻撃が可能になることが明らかになっている。^[1]

この脆弱性はCVSS（共通脆弱性評価システム）のスコアで最大5.3を記録しており、攻撃の深刻度は「MEDIUM（中程度）」と評価されている。脆弱性の種類としてはCWE-79（クロスサイトスクリプティング）とCWE-94（コードインジェクション）に分類され、遠隔からの攻撃が可能な状態となっている。

特に重要な点として、この脆弱性に関する情報は既に一般に公開されており、実際の攻撃に利用される可能性が指摘されている。攻撃者は特権レベルは不要であるものの、ユーザーの関与が必要とされており、影響範囲は限定的であるとされている。

DedeCMS 5.7.116の脆弱性詳細

クロスサイトスクリプティングについて

クロスサイトスクリプティング（XSS）とは、Webアプリケーションの脆弱性の一種で、攻撃者が悪意のあるスクリプトをWebページに挿入できる脆弱性のことを指す。主な特徴として、以下のような点が挙げられる。

• Webサイトに悪意のあるスクリプトを埋め込み実行可能
• ユーザーの個人情報やセッション情報の窃取が可能
• Webサイトの見た目や機能の改ざんが可能

DedeCMS 5.7.116で発見された脆弱性は、article_add.phpファイルの引数bodyを操作することでクロスサイトスクリプティング攻撃が可能になる。この脆弱性はCVSS 3.1での評価で3.5（Low）とされており、攻撃には特権レベルは不要だが、ユーザーの関与が必要となっている。

DedeCMSの脆弱性に関する考察

DedeCMSの脆弱性が公開されたことで、早急なセキュリティパッチの適用が必要不可欠となっている。多くのユーザーが利用するコンテンツ管理システムであるため、脆弱性の影響範囲は潜在的に広範囲に及ぶ可能性があり、管理者は早急なバージョンアップや対策の実施を検討する必要があるだろう。

今後は同様の脆弱性を防ぐため、開発段階でのセキュリティテストの強化やコードレビューの徹底が求められる。特にユーザー入力を扱うファイルに関しては、適切なバリデーションやサニタイズ処理の実装が重要となるはずだ。

長期的な視点では、セキュリティ対策の自動化やCI/CDパイプラインへのセキュリティチェックの組み込みなど、より体系的なアプローチが必要となるだろう。DedeCMSの開発チームには、継続的なセキュリティアップデートの提供と、脆弱性情報の適切な開示を期待したい。

参考サイト

1. ^ CVE. 「CVE-2024-12180 | CVE」. https://www.cve.org/CVERecord?id=CVE-2024-12180, (参照 24-12-12).

※上記コンテンツはAIで確認しておりますが、間違い等ある場合はコメントよりご連絡いただけますと幸いです。

「セキュリティ」に関するコラム一覧「セキュリティ」に関するニュース一覧