Phormerの3.35より前のバージョンにクロスサイトスクリプティングの脆弱性が発覚、ユーザのブラウザで任意スクリプト実行の可能性

text: XEXEQ編集部

Phormerにおけるクロスサイトスクリプティングの脆弱性の要約
FacebookがPhormerのクロスサイトスクリプティング脆弱性を報告
考察
参考サイト

Phormerにおけるクロスサイトスクリプティングの脆弱性の要約

Phormerの3.35より前のバージョンにクロスサイトスクリプティングの脆弱性が存在
ユーザのウェブブラウザ上で任意のスクリプト実行の可能性あり
Phormer 3.35でこの脆弱性は修正されたが、2007年に終了したプロジェクトでありサポートは終了
報告は2007年8月に受理され、2023年10月に開発者との調整で公表に至った

FacebookがPhormerのクロスサイトスクリプティング脆弱性を報告

2024年5月10日、FacebookがオンラインアルバムアプリケーションのPhormerにクロスサイトスクリプティング（XSS）の脆弱性を発見したと報告した。この脆弱性はPhormer 3.35より前のバージョンに存在し、CVE番号はCVE-2024-61054671が割り当てられている。

この脆弱性が悪用されると、攻撃者が被害者のウェブブラウザ上で任意のスクリプトを実行できる可能性がある。ただし、現在はPhormer 3.35でこの問題は修正済みだ。開発者によれば、Phormerは2007年に終了したプロジェクトであり、すでにサポートは終了しているという。

JPCERT/CCによると、この脆弱性の報告は2007年8月に受理されていた。その後、2023年10月に再び開発者との連絡が取れたため、このタイミングでの公表に至ったとのことだ。脆弱性の深刻度はCVSS v3のスコアで基本値6.1と評価されている。

考察

Phormerの脆弱性問題は、古いバージョンのソフトウェアを使い続けることのリスクを如実に示している。長期間メンテナンスされていないアプリケーションは、新たに発見されたセキュリティホールに対する修正を受けられない。その結果、攻撃者に狙われやすいシステムになってしまう。特にウェブアプリケーションの場合、インターネットを介して不特定多数のユーザーがアクセスするため、脆弱性を突かれた際の被害が拡大しやすい点は注意が必要だ。

企業や組織では、定期的にソフトウェア資産を棚卸しし、使用しているアプリケーションのバージョンやサポート状況を把握しておくことが肝要だ。サポートが終了したソフトウェアについては、計画的に代替製品への移行やシステム刷新を進めていく必要がある。脆弱性対策は一朝一夕にはいかないが、中長期的視点に立ったIT戦略の一環として捉え、セキュアなシステム環境を構築していくことが求められる。