セキュリティ

SECURITY

公開：2024-12-20

【CVE-2024-43724】Adobe Experience Manager 6.5.21にDOM-based XSS脆弱性、ユーザーセッション内でのコード実行の危険性

text: XEXEQ編集部
（記事は執筆時の情報に基づいており、現在では異なる場合があります）

記事の要約

• Adobe Experience Manager 6.5.21以前にXSS脆弱性
• 攻撃者によって任意のコード実行が可能に
• CVSSスコア5.4のミディアムリスクと評価

Adobe Experience Manager 6.5.21のDOM-based XSS脆弱性

Adobe Systems Incorporatedは2024年12月10日、Adobe Experience Manager 6.5.21以前のバージョンに影響を与えるDOM-based XSS（クロスサイトスクリプティング）の脆弱性を公開した。この脆弱性は攻撃者によって悪意のあるスクリプトを注入される可能性があり、被害者のブラウザセッション内で任意のコードが実行される可能性がある。^[1]

この脆弱性はCVE-2024-43724として識別されており、CWEによる脆弱性タイプはクロスサイトスクリプティング（CWE-79）に分類されている。NVDの評価によると、攻撃元区分はネットワークであり、攻撃条件の複雑さは低いとされているが、攻撃には特権レベルが必要で、ユーザーの関与も必要とされている。

CVSSスコアは5.4（ミディアム）と評価されており、攻撃の成功には被害者側の操作が必要とされている。Adobe Systems Incorporatedは公式サイトで脆弱性の詳細と対策について公開しており、影響を受けるバージョンのユーザーに対して早急な対応を推奨している。

Adobe Experience Manager 6.5.21の脆弱性詳細

脆弱性の詳細についてはこちら

DOM-based XSSについて

DOM-based XSSとはWebアプリケーションの脆弱性の一種で、攻撃者が悪意のあるスクリプトをDOMを介して注入し、ユーザーのブラウザ上で実行させる攻撃手法を指す。以下のような特徴がある。

• クライアントサイドで発生する脆弱性
• JavaScriptによるDOM操作の不適切な処理が原因
• ユーザーの入力値やURL パラメータを介して攻撃が行われる

Adobe Experience Manager 6.5.21以前のバージョンで発見されたDOM-based XSSの脆弱性は、攻撃者がDOMを介して悪意のあるスクリプトを注入し、ユーザーのブラウザセッション内で任意のコードを実行する可能性がある。攻撃の成功には被害者側の操作が必要とされており、影響範囲は機密性と完全性の一部に限定されている。

Adobe Experience Manager 6.5.21の脆弱性に関する考察

Adobe Experience Manager 6.5.21以前のバージョンに存在するDOM-based XSSの脆弱性は、コンテンツ管理システムのセキュリティ上の重要な課題を浮き彫りにしている。特にエンタープライズレベルのプラットフォームで発生する脆弱性は、組織のデータセキュリティに深刻な影響を及ぼす可能性があることから、早急な対応が求められるだろう。

この脆弱性への対策として、入力値のバリデーションやサニタイズ処理の強化、そしてコンテンツセキュリティポリシー（CSP）の適切な設定が重要となる。特にDOM操作を行う際のセキュリティチェックを強化し、ユーザー入力の処理に関するベストプラクティスを徹底することで、同様の脆弱性の発生を防ぐことが可能になるだろう。

今後は、JavaScriptフレームワークやライブラリの進化に伴い、より複雑化するDOM操作のセキュリティ対策が必要となる。特にエンタープライズ向けCMSにおいては、定期的なセキュリティ監査とパッチ管理の重要性が増していくと考えられる。

参考サイト

1. ^ CVE. 「CVE-2024-43724 | CVE」. https://www.cve.org/CVERecord?id=CVE-2024-43724, (参照 24-12-20).

※上記コンテンツはAIで確認しておりますが、間違い等ある場合はコメントよりご連絡いただけますと幸いです。

「セキュリティ」に関するコラム一覧「セキュリティ」に関するニュース一覧