セキュリティ

SECURITY

公開：2024-12-17

【CVE-2024-52992】Adobe Experience Manager 6.5.21にStored XSSの脆弱性、悪意のあるスクリプト実行の危険性が浮上

text: XEXEQ編集部
（記事は執筆時の情報に基づいており、現在では異なる場合があります）

記事の要約

• Adobe Experience Manager 6.5.21以前に深刻な脆弱性
• Stored XSSの脆弱性によりスクリプト実行が可能に
• フォームフィールドを介して悪意のあるスクリプトが注入可能

Adobe Experience Manager 6.5.21のStored XSS脆弱性

Adobeは2024年12月10日、Adobe Experience Managerの6.5.21以前のバージョンにおいて、Stored XSS（クロスサイトスクリプティング）の脆弱性が発見されたことを公表した。この脆弱性は攻撃者が脆弱性のあるフォームフィールドを介して悪意のあるスクリプトを注入できる状態であることが判明している。^[1]

CVSSスコアは5.4（中程度）と評価されており、ネットワークからのアクセスが可能で攻撃の複雑さは低いとされている。この脆弱性を悪用するには特権が必要であり、ユーザーの操作も必要となるが、攻撃が成功した場合、被害者のブラウザ上で悪意のあるJavaScriptが実行される可能性が高いことが確認された。

脆弱性の識別番号はCVE-2024-52992として登録されており、CWEによる脆弱性タイプはCWE-79（Stored XSS）に分類されている。SSVCの評価によると、現時点での自動化された攻撃は確認されておらず、技術的な影響は部分的であるとされている。

Adobe Experience Manager 6.5.21の脆弱性まとめ

Stored XSSについて

Stored XSS（格納型クロスサイトスクリプティング）とは、Webアプリケーションの脆弱性の一種で、攻撃者が悪意のあるスクリプトをサーバーに保存し、後に他のユーザーがそのページを閲覧した際に実行される攻撃手法のことを指す。主な特徴として、以下のような点が挙げられる。

• 悪意のあるスクリプトがサーバーに永続的に保存される
• 複数のユーザーに影響を与える可能性が高い
• セッション情報の窃取やフィッシング攻撃に悪用される

Adobe Experience Manager 6.5.21の脆弱性では、攻撃者が特定のフォームフィールドを介して悪意のあるスクリプトを注入できる状態にある。このスクリプトは被害者がページを閲覧した際に実行され、情報漏洩やアカウント乗っ取りなどの深刻な被害につながる可能性がある。

Adobe Experience Manager 6.5.21の脆弱性に関する考察

Adobe Experience Managerにおける今回のStored XSS脆弱性は、コンテンツ管理システムにおけるユーザー入力の検証と無害化の重要性を再認識させる事例となっている。特に企業のWebサイト管理に広く使用されているシステムであるため、攻撃者による悪用の可能性は無視できず、早急なアップデートが必要となるだろう。

今後の課題として、フォームフィールドにおける入力値の厳密なバリデーションやサニタイズ処理の強化が挙げられる。特にHTML5やJavaScriptの進化に伴い、新たな攻撃手法が開発される可能性も考慮に入れる必要があるため、継続的なセキュリティ監査と脆弱性診断の実施が重要となってくるだろう。

また、今回の脆弱性はCVSSスコアが中程度と評価されているものの、企業のコンテンツ管理システムが標的となる可能性を考えると、影響は決して小さくない。今後は特権アクセス管理の強化やコンテンツの承認フローの見直しなど、多層的な防御策の導入も検討する必要があるだろう。

参考サイト

1. ^ CVE. 「CVE-2024-52992 | CVE」. https://www.cve.org/CVERecord?id=CVE-2024-52992, (参照 24-12-17).

※上記コンテンツはAIで確認しておりますが、間違い等ある場合はコメントよりご連絡いただけますと幸いです。

「セキュリティ」に関するコラム一覧「セキュリティ」に関するニュース一覧