セキュリティ

SECURITY

公開：2025-01-08

【CVE-2024-13081】PHPGurukul Land Record System 1.0にXSS脆弱性、contactus.phpファイルがクロスサイトスクリプティングの影響を受ける可能性

text: XEXEQ編集部
（記事は執筆時の情報に基づいており、現在では異なる場合があります）

記事の要約

• PHPGurukul Land Record System 1.0にXSS脆弱性
• contactus.phpファイルがクロスサイトスクリプティングに影響
• 脆弱性は公開され、攻撃可能な状態に

PHPGurukul Land Record System 1.0のXSS脆弱性

PHPGurukulは同社が開発するLand Record System 1.0において、contactus.phpファイルに深刻な脆弱性が存在することを2024年12月31日に公開した。この脆弱性は【CVE-2024-13081】として識別されており、クロスサイトスクリプティング（XSS）とコードインジェクションの2つのCWEに分類されている。^[1]

NVDのCVSS評価では、攻撃元区分はネットワークであり、攻撃条件の複雑さは低いとされている。また、攻撃に必要な特権レベルは低く、ユーザーインターフェースの関与が必要とされており、影響の想定範囲に変更があるとされているのだ。

さらにCVSS 4.0では深刻度がミディアムとされ、スコアは5.3を記録している。この脆弱性は既に公開されており、悪用可能な状態となっているため、早急な対策が求められる状況だ。

XSS脆弱性の深刻度まとめ

クロスサイトスクリプティングについて

クロスサイトスクリプティングとは、Webアプリケーションの脆弱性の一種であり、攻撃者が悪意のあるスクリプトをWebページに挿入できる状態を指す。以下のような特徴がある。

• ユーザーの入力値が適切にサニタイズされずにそのまま出力される
• 攻撃者が任意のJavaScriptコードを実行可能
• セッションハイジャックやフィッシング詐欺などの攻撃に悪用される

PHPGurukul Land Record System 1.0の場合、contactus.phpファイルにおけるPage Descriptionパラメータの処理に問題があり、クロスサイトスクリプティング攻撃が可能な状態となっている。この脆弱性は既に公開されており、リモートから攻撃可能なため、早急なアップデートや対策が必要とされているのだ。

PHPGurukul Land Record System 1.0の脆弱性に関する考察

PHPGurukul Land Record System 1.0において発見されたクロスサイトスクリプティングの脆弱性は、入力値のサニタイズ不足という基本的なセキュリティ対策の欠如を示している。Land Record Systemは土地記録管理という重要な情報を扱うシステムであるため、このような脆弱性の存在は深刻な情報漏洩やシステム改ざんのリスクをもたらす可能性があるだろう。

今後同様の問題を防ぐためには、開発段階でのセキュリティレビューの強化や、定期的な脆弱性診断の実施が不可欠となってくる。また、PHPGurukulには早急なセキュリティパッチの提供と、ユーザーへの適切な情報開示を行うことで、システムの信頼性を維持することが求められるのだ。

デジタル化が進む土地管理システムにおいて、セキュリティの重要性は今後さらに高まっていく。PHPGurukulには、この事態を教訓としてセキュリティ対策の強化に取り組み、より堅牢なシステム開発を進めていくことが期待される。

参考サイト

1. ^ CVE. 「CVE-2024-13081 | CVE」. https://www.cve.org/CVERecord?id=CVE-2024-13081, (参照 25-01-08).

※上記コンテンツはAIで確認しておりますが、間違い等ある場合はコメントよりご連絡いただけますと幸いです。

「セキュリティ」に関するコラム一覧「セキュリティ」に関するニュース一覧