セキュリティ

SECURITY

公開：2024-12-20

【CVE-2024-54045】Adobe Connect 12.6と11.4.7以前にXSS脆弱性、悪意のあるスクリプト実行のリスクが判明

text: XEXEQ編集部
（記事は執筆時の情報に基づいており、現在では異なる場合があります）

記事の要約

• Adobe Connect 12.6、11.4.7以前にXSS脆弱性
• 悪意のあるJavaScriptコードが実行される可能性
• CVSSスコアは5.4でMedium評価

Adobe Connect 12.6、11.4.7以前のXSS脆弱性

Adobe社は2024年12月10日、Adobe Connectの12.6と11.4.7以前のバージョンにおいて、反射型クロスサイトスクリプティング（XSS）の脆弱性が発見されたことを公表した。攻撃者が脆弱性のあるページを参照するURLに悪意のあるスクリプトを仕込み、ユーザーがそのURLにアクセスすることで、ブラウザ上で不正なJavaScriptコードが実行される可能性があることが明らかになったのだ。^[1]

この脆弱性はCVE-2024-54045として識別されており、CWEによる脆弱性タイプはクロスサイトスクリプティング（CWE-79）に分類されている。NVDの評価によると、攻撃元区分はネットワークであり、攻撃条件の複雑さは低いとされているが、攻撃に必要な特権レベルは不要で、利用者の関与が必要とされている。

CVSSスコアは5.4（Medium）と評価されており、機密性と完全性への影響は限定的である一方、可用性への影響は認められていない。Adobe社は脆弱性の詳細な情報をセキュリティ情報（APSB24-99）として公開し、影響を受けるバージョンのユーザーに対して適切な対策を講じるよう呼びかけている。

Adobe Connect脆弱性の影響範囲

Adobe セキュリティ情報の詳細はこちら

クロスサイトスクリプティングについて

クロスサイトスクリプティング（XSS）とは、Webアプリケーションの脆弱性の一種で、攻撃者が悪意のあるスクリプトをWebページに挿入できる問題のことを指す。主な特徴として、以下のような点が挙げられる。

• ユーザーのブラウザ上で不正なスクリプトが実行される
• セッション情報の窃取やフィッシング詐欺に悪用される可能性
• 反射型、格納型、DOM型の3種類が存在

Adobe Connectで発見された脆弱性は反射型XSSに分類され、攻撃者が細工したURLをユーザーに踏ませることで発動する。攻撃の成功には被害者のブラウザ操作が必要となるが、一度攻撃が成功するとユーザーのブラウザ上で任意のJavaScriptコードが実行可能となるため、重大な情報漏洩につながる可能性がある。

Adobe Connect脆弱性に関する考察

Adobe Connectの脆弱性は、Webミーティングプラットフォームにおけるセキュリティ上の重要な課題を浮き彫りにしている。オンラインコミュニケーションツールの利用が増加する中、XSS脆弱性の存在は情報漏洩やなりすまし攻撃のリスクを高める要因となるため、ユーザー側でもURLの安全性確認やセキュリティアップデートの適用を徹底する必要があるだろう。

今後のAdobe Connectでは、入力値の検証やサニタイズ処理の強化が求められる。特にWebミーティング中の共有コンテンツやチャット機能において、悪意のあるスクリプトが混入する可能性を考慮したセキュリティ対策の実装が重要となってくるだろう。

また、脆弱性対策の観点から、今後のバージョンアップではコンテンツセキュリティポリシー（CSP）の導入やXSSフィルターの強化が期待される。同時にユーザー企業向けのセキュリティガイドラインの提供や、脆弱性発見時の迅速な対応体制の構築も重要な課題となるだろう。

参考サイト

1. ^ CVE. 「CVE-2024-54045 | CVE」. https://www.cve.org/CVERecord?id=CVE-2024-54045, (参照 24-12-20).

※上記コンテンツはAIで確認しておりますが、間違い等ある場合はコメントよりご連絡いただけますと幸いです。

「セキュリティ」に関するコラム一覧「セキュリティ」に関するニュース一覧