セキュリティ

SECURITY

公開：2025-01-20

【CVE-2024-56377】REDCap 14.9.6に格納型XSS脆弱性が発見、医療データのセキュリティに警鐘

text: XEXEQ編集部
（記事は執筆時の情報に基づいており、現在では異なる場合があります）

記事の要約

• REDCap 14.9.6にXSS脆弱性が発見される
• 認証済みユーザーが悪意のあるスクリプトを注入可能
• CVSSスコア5.4のMEDIUMレベルの深刻度

REDCap 14.9.6の格納型XSS脆弱性について

MITRE CorporationはREDCapバージョン14.9.6において、格納型XSS（クロスサイトスクリプティング）の脆弱性を2025年1月9日に公開した。この脆弱性は【CVE-2024-56377】として識別されており、認証済みユーザーがSurvey TitleフィールドやSurvey Instructionsに悪意のあるスクリプトを注入できる問題が確認されている。^[1]

この脆弱性の特徴として、ユーザーが調査ページ上のどこかをクリックしてデータを入力しようとした際に、すべての調査フィールドに注入された悪意のあるペイロードが実行される可能性がある。CVSSスコアは5.4（MEDIUM）と評価されており、攻撃者は任意のWebスクリプトを実行できる可能性が指摘されている。

脆弱性の評価によると、攻撃元区分はネットワークであり、攻撃の複雑さは低いとされている。また、攻撃には特権が必要であり、ユーザーの関与も必要とされているが、影響の範囲が変更される可能性がある。この脆弱性の報告を受け、CISA-ADPは2025年1月10日に情報を更新し、対応を行っている。

REDCap 14.9.6の脆弱性詳細

クロスサイトスクリプティング（XSS）について

クロスサイトスクリプティング（XSS）とは、Webアプリケーションの脆弱性の一つで、攻撃者が悪意のあるスクリプトをWebページに挿入できる問題のことを指す。主な特徴として、以下のような点が挙げられる。

• ユーザーの入力値が適切にサニタイズされずにWebページに出力される
• 攻撃者は任意のJavaScriptコードを実行可能
• ユーザーのセッション情報や個人情報が窃取される可能性がある

REDCap 14.9.6で発見された脆弱性は格納型XSSに分類され、Survey TitleフィールドやSurvey Instructionsに挿入された悪意のあるスクリプトがデータベースに保存される。この保存された悪意のあるスクリプトは、ユーザーが調査ページにアクセスしてデータを入力しようとした際に実行される可能性があるため、特に注意が必要だ。

REDCapの格納型XSS脆弱性に関する考察

REDCapはアカデミックや医療機関で広く使用されているため、この脆弱性の影響は潜在的に深刻である。認証済みユーザーによる攻撃が必要という制限はあるものの、一度悪意のあるスクリプトが注入されると、その後アクセスする正規ユーザーすべてに影響を与える可能性があるため、早急な対応が望まれる。

今後の課題として、入力値のバリデーションとサニタイズ処理の強化が必要不可欠だ。特にSurvey TitleフィールドやSurvey Instructionsなど、ユーザー入力を受け付ける箇所すべてに対して、適切なセキュリティ対策を実装する必要がある。また、認証済みユーザーによる悪意のある操作を検出・防止するための監視システムの導入も検討に値するだろう。

将来的には、コンテンツセキュリティポリシー（CSP）の導入やセキュリティヘッダの適切な設定など、多層的な防御策の実装が期待される。特に医療データを扱うプラットフォームとして、より強固なセキュリティ体制の構築が不可欠だ。継続的なセキュリティ監査と脆弱性診断の実施により、新たな脆弱性の早期発見と対応が可能になるだろう。

参考サイト

1. ^ CVE. 「CVE-2024-56377 | CVE」. https://www.cve.org/CVERecord?id=CVE-2024-56377, (参照 25-01-20).

※上記コンテンツはAIで確認しておりますが、間違い等ある場合はコメントよりご連絡いただけますと幸いです。

「セキュリティ」に関するコラム一覧「セキュリティ」に関するニュース一覧