【CVE-2024-49064】Microsoft SharePoint Serverに情報漏洩の脆弱性、複数バージョンで更新が必要に
スポンサーリンク
記事の要約
- Microsoft SharePoint Server各バージョンで情報漏洩の脆弱性
- CVE-2024-49064として識別される深刻な脆弱性
- 影響を受けるバージョンへのアップデートが必須
スポンサーリンク
Microsoft SharePoint Serverの情報漏洩に関する脆弱性
Microsoftは2024年12月10日、SharePoint Enterprise Server 2016、SharePoint Server 2019、SharePoint Server Subscription Editionに影響を及ぼす情報漏洩の脆弱性を公開した。この脆弱性はCVE-2024-49064として識別され、CVSSスコア6.5の中程度の深刻度と評価されている。[1]
SharePoint Enterprise Server 2016では16.0.5478.1000より前のバージョン、SharePoint Server 2019では16.0.10416.20026より前のバージョン、SharePoint Server Subscription Editionでは16.0.17928.20290より前のバージョンが影響を受けることが判明した。この脆弱性は不適切なXML外部エンティティ参照の制限に関連しており、CWE-611に分類される問題である。
脆弱性の影響を受けるプラットフォームはx64ベースのシステムに限定されており、攻撃者がリモートから攻撃を実行する可能性がある。ユーザーの操作が必要となるものの、認証情報は不要であり、情報漏洩のリスクが高い状態となっている。
SharePoint Serverの影響を受けるバージョンまとめ
製品名 | 影響を受けるバージョン |
---|---|
SharePoint Enterprise Server 2016 | 16.0.0から16.0.5478.1000未満 |
SharePoint Server 2019 | 16.0.0から16.0.10416.20026未満 |
SharePoint Server Subscription Edition | 16.0.0から16.0.17928.20290未満 |
プラットフォーム | x64ベースシステム |
CVSSスコア | 6.5(中程度) |
スポンサーリンク
XML外部エンティティ参照について
XML外部エンティティ参照とは、XMLドキュメント内で外部リソースを参照する機能のことを指しており、主な特徴として以下のような点が挙げられる。
- 外部ファイルやネットワークリソースの読み込みが可能
- DTD(Document Type Definition)で定義される参照機能
- 不適切な設定により情報漏洩のリスクが発生
Microsoft SharePointの脆弱性はXML外部エンティティ参照の不適切な制限に起因しており、攻撃者が特別に細工したリクエストを送信することで情報漏洩を引き起こす可能性がある。この問題はCWE-611として分類され、Webアプリケーションセキュリティにおいて重要な脆弱性の一つとして認識されている。
SharePoint Serverの脆弱性に関する考察
SharePointは企業の重要な情報資産を扱うことが多く、今回の脆弱性は情報漏洩のリスクを高める深刻な問題となっている。特に認証が不要でユーザーの操作のみで攻撃が可能という特徴は、ソーシャルエンジニアリングと組み合わせた攻撃シナリオを想定する必要があるだろう。
今後は組織内のSharePointサーバーのバージョン管理をより厳格に行い、セキュリティアップデートの適用を迅速に実施する体制構築が重要となる。同時にXML外部エンティティ参照に関連する設定の見直しや、不要な外部参照機能の無効化なども検討する必要があるだろう。
将来的にはXML処理におけるセキュリティ機能の強化や、外部リソース参照時の追加的な認証メカニズムの実装も期待される。SharePointの重要性を考慮すると、セキュリティ対策の多層化と運用管理体制の整備が不可欠となる。
参考サイト
- ^ CVE. 「CVE-2024-49064 | CVE」. https://www.cve.org/CVERecord?id=CVE-2024-49064, (参照 25-01-16).
- Microsoft. https://www.microsoft.com/ja-jp
※上記コンテンツはAIで確認しておりますが、間違い等ある場合はコメントよりご連絡いただけますと幸いです。
- 【CVE-2023-52953】HarmonyOSとEMUIのMedialibraryモジュールにパストラバーサル脆弱性、整合性と機密性への影響に懸念
- 【CVE-2023-52954】HuaweiのHarmonyOSとEMUIに権限制御の脆弱性、Galleryモジュールのセキュリティに懸念
- 【CVE-2023-52955】HarmonyOSとEMUIに認証の脆弱性、複数バージョンで機能異常のリスク
- 【CVE-2024-21464】QualcommのSnapdragonプラットフォームでバッファオーバーフロー脆弱性が発見、21製品に影響
- 【CVE-2024-13141】LightPictureにXSS脆弱性が発見、遠隔からの攻撃が可能な状態に
- 【CVE-2024-13137】wangl1989 mysiteforme 1.0にクロスサイトスクリプティングの脆弱性が発見、遠隔攻撃のリスクが浮上
- 【CVE-2024-13138】wangl1989 mysiteforme 1.0に重大な脆弱性、無制限アップロードの問題が発覚
- 【CVE-2024-13140】Emlog Pro 2.4.3以前のバージョンにXSS脆弱性を発見、遠隔からの攻撃が可能な状態に
- 【CVE-2025-0230】code-projects Responsive Hotel Siteにおける深刻なSQLインジェクション脆弱性が発見、早急な対応が必要に
- 【CVE-2025-0208】code-projects Online Shoe Store 1.0にSQL injection脆弱性、リモート攻撃の危険性が浮上
スポンサーリンク