【CVE-2024-43728】Adobe Experience Manager 6.5.21でStored XSSの脆弱性が発見、マルシャス攻撃のリスクが拡大

text: XEXEQ編集部
（記事は執筆時の情報に基づいており、現在では異なる場合があります）

IT・テックのコネクトメディア「ゼゼック」
カテゴリ毎のアーカイブ記事一覧
【カテゴリ別】2024年12月のアーカイブ一覧
【2024年12月】セキュリティに関するアーカイブ一覧
【2024年12月17日】セキュリティに関するアーカイブ一覧
【CVE-2024-43728】Adobe Experience Manager 6.5.21でStored XSSの脆弱性が発見、マルシャス攻撃のリスクが拡大

記事の要約
Adobe Experience Manager 6.5.21のXSS脆弱性が発見
Adobe Experience Manager 6.5.21の脆弱性情報まとめ
Stored XSSについて
Adobe Experience Manager 6.5.21の脆弱性に関する考察
参考サイト

記事の要約

Adobe Experience Manager 6.5.21で深刻な脆弱性を確認
Stored XSSの脆弱性によりマルシャス攻撃が可能に
脆弱性の深刻度はCVSS v3.1で「MEDIUM」と評価

Adobe Experience Manager 6.5.21のXSS脆弱性が発見

Adobeは2024年12月10日、同社のコンテンツ管理システムAdobe Experience Manager 6.5.21およびそれ以前のバージョンに存在する深刻な脆弱性【CVE-2024-43728】を公開した。この脆弱性は、攻撃者が特定のフォームフィールドに悪意のあるスクリプトを注入できるStored XSS（格納型クロスサイトスクリプティング）の問題として報告されている。^[1]

脆弱性の深刻度はCVSS v3.1で5.4点（MEDIUM）と評価されており、攻撃元区分はネットワーク経由、攻撃条件の複雑さは低いとされている。攻撃に必要な特権レベルは低く、ユーザーの関与が必要とされるものの、影響範囲が複数コンポーネントに及ぶ可能性があるため、早急な対応が推奨されるだろう。

この脆弱性を悪用された場合、攻撃者は脆弱なフィールドに悪意のあるJavaScriptコードを埋め込み、被害者がそのページを閲覧した際にブラウザ上でスクリプトを実行させることが可能になる。影響を受けるシステムの管理者は、Adobe Security Bulletinで公開されている対策情報を確認し、必要な対応を実施することが強く推奨される。

Adobe Experience Manager 6.5.21の脆弱性情報まとめ

項目	詳細
CVE番号	CVE-2024-43728
影響を受けるバージョン	Adobe Experience Manager 6.5.21以前
脆弱性の種類	Stored XSS (CWE-79)
CVSS Score	5.4 (MEDIUM)
公開日	2024年12月10日
攻撃の特徴	フォームフィールドへの悪意のあるスクリプト注入

Adobe Security Bulletinの詳細はこちら

Stored XSSについて

Stored XSS（格納型クロスサイトスクリプティング）とは、Webアプリケーションの脆弱性の一種で、攻撃者が悪意のあるスクリプトをサーバーに保存し、その後他のユーザーがアクセスした際に実行される攻撃手法のことを指す。主な特徴として、以下のような点が挙げられる。

攻撃コードがサーバーに永続的に保存される
複数のユーザーに対して継続的な攻撃が可能
データベースやファイルシステムに保存された情報が攻撃に利用される

Adobe Experience Manager 6.5.21で発見された脆弱性は、フォームフィールドに悪意のあるJavaScriptコードを注入することで、被害者のブラウザ上でスクリプトを実行させることが可能になる。攻撃者はこの脆弱性を利用してユーザーの認証情報の窃取やセッションハイジャックなどの攻撃を実行する可能性があるため、早急なパッチ適用が推奨される。

Adobe Experience Manager 6.5.21の脆弱性に関する考察

Adobe Experience Managerの脆弱性対策において特筆すべき点は、CVSSスコアが「MEDIUM」と評価されているにもかかわらず、攻撃条件の複雑さが低く、特権レベルも低いことである。この組み合わせは、攻撃者にとって比較的容易に悪用できる可能性を示唆しており、特にフォームフィールドを多用する企業のWebサイトにおいては、早急な対策が必要になるだろう。

今後の課題として、コンテンツ管理システム全体のセキュリティ強化が挙げられる。特にユーザー入力を受け付けるフォームフィールドに対する入力検証やサニタイズ処理の徹底が重要になってくるだろう。また、定期的なセキュリティ監査やペネトレーションテストの実施により、同様の脆弱性を早期に発見し、対処する体制の構築も検討する必要がある。

Adobe Experience Managerの今後の展開として期待したいのは、セキュリティ機能の強化だけでなく、開発者向けのセキュリティガイドラインの充実である。特にXSS対策に関するベストプラクティスの提供や、セキュアなプラグイン開発のためのフレームワークの整備が望まれる。このような取り組みにより、エンタープライズCMSとしての信頼性がより一層高まることが期待できるだろう。