セキュリティ

SECURITY

公開：2025-01-16

【CVE-2024-41752】IBM Cognos Analyticsに脆弱性、HTMLインジェクション攻撃のリスクが浮上

text: XEXEQ編集部
（記事は執筆時の情報に基づいており、現在では異なる場合があります）

記事の要約

• IBM Cognos Analyticsに脆弱性が発見される
• HTMLインジェクション攻撃が可能な状態に
• 複数バージョンに影響を及ぼす深刻な脆弱性

IBM Cognos AnalyticsのHTML脆弱性が報告

IBMは同社のビジネスインテリジェンスツールであるIBM Cognos Analytics 11.2.0から11.2.4および12.0.0から12.0.3において、HTMLインジェクションの脆弱性が確認されたことを2024年12月18日に公開した。この脆弱性は【CVE-2024-41752】として識別されており、リモート攻撃者が悪意のあるHTMLコードを注入できる可能性があることが判明している。^[1]

IBMによって公開された情報によると、攻撃者がこの脆弱性を悪用した場合、被害者のWebブラウザ上でホスティングサイトのセキュリティコンテキスト内で悪意のあるコードが実行される可能性がある。CWEによる脆弱性タイプはCWE-80に分類され、WebページにおけるスクリプトHTML関連タグの不適切な無効化として定義されている。

CVSSスコアは5.4点で深刻度は中程度と評価されており、攻撃元区分は隣接ネットワークからのアクセス、攻撃条件の複雑さは低く、特権レベルは低いと判断されている。IBMは同脆弱性に対する詳細な情報をIBMサポートページにて公開し、ユーザーに対して適切な対応を促している。

IBM Cognos Analytics脆弱性の影響範囲まとめ

IBMサポートページの詳細はこちら

HTMLインジェクションについて

HTMLインジェクションとは、Webアプリケーションの脆弱性を悪用して悪意のあるHTMLコードを注入する攻撃手法のことを指す。主な特徴として、以下のような点が挙げられる。

• Webページの表示内容を改ざんすることが可能
• クロスサイトスクリプティング攻撃の一種として分類
• ユーザーの権限で任意のスクリプトを実行可能

IBM Cognos Analyticsで発見された脆弱性では、リモートの攻撃者がHTMLインジェクションを行うことで、被害者のWebブラウザ上でホスティングサイトのセキュリティコンテキスト内で悪意のあるコードを実行できる状態にある。CVSSスコアは5.4と中程度の深刻度であり、攻撃条件の複雑さは低いと評価されている。

IBM Cognos Analyticsの脆弱性に関する考察

IBM Cognos Analyticsで発見されたHTMLインジェクションの脆弱性は、ビジネスインテリジェンスツールとしての重要性を考慮すると、企業のデータ分析環境に大きな影響を及ぼす可能性がある。特に複数のバージョンに影響が及ぶことから、多くのユーザーが潜在的なリスクにさらされている状態であり、早急なセキュリティパッチの適用が望まれるだろう。

今後はWebアプリケーションのセキュリティ強化に向けて、入力値の検証やサニタイズ処理の徹底が必要不可欠となる。特にビジネスクリティカルな環境で使用されるツールにおいては、開発段階からセキュリティバイデザインの考え方を取り入れ、脆弱性の発生を未然に防ぐ取り組みが重要になってくるだろう。

また、エンタープライズソフトウェアのセキュリティ対策としては、定期的な脆弱性診断の実施や、セキュリティアップデートの自動適用機能の実装なども検討する必要がある。IBMには今回の事例を教訓として、より強固なセキュリティ体制の構築と、迅速な脆弱性対応の体制を整えることが期待される。

参考サイト

1. ^ CVE. 「CVE-2024-41752 | CVE」. https://www.cve.org/CVERecord?id=CVE-2024-41752, (参照 25-01-16).
2. IBM. https://www.ibm.com/jp-ja

※上記コンテンツはAIで確認しておりますが、間違い等ある場合はコメントよりご連絡いただけますと幸いです。

「セキュリティ」に関するコラム一覧「セキュリティ」に関するニュース一覧