セキュリティ

SECURITY

公開：2025-02-27

【CVE-2025-0981】ChurchCRM 5.13.0にストアドXSS脆弱性が発見、セッションハイジャックのリスクが深刻化

text: XEXEQ編集部
（記事は執筆時の情報に基づいており、現在では異なる場合があります）

記事の要約

• ChurchCRM 5.13.0以前にXSS脆弱性が発見
• グループエディタのDescription欄で管理者がJavaScriptを実行可能
• 認証済みユーザーのセッション情報が外部に送信される恐れ

ChurchCRM 5.13.0のストアドXSSによるセッションハイジャック脆弱性

Gridware Cybersecurityは2025年2月18日、ChurchCRM 5.13.0およびそれ以前のバージョンにおいて、グループエディタページの説明フィールドにストアドXSS脆弱性が存在することを公開した。管理者権限を持つ攻撃者が悪意のあるJavaScriptコードを説明フィールドに挿入することで、認証済みユーザーのセッションクッキーを取得できる問題が明らかになっている。^[1]

この脆弱性は【CVE-2025-0981】として識別されており、CVSS v4.0で8.4のHigh評価を受けている。攻撃には管理者権限が必要だが、攻撃の技術的難易度は低く、ユーザーの関与があれば情報漏洩やセッションハイジャックのリスクが高まるとされている。

攻撃者は取得したセッションクッキーを外部サーバーに送信し、正規ユーザーになりすまして認証をバイパスすることが可能となる。これにより機密情報への不正アクセスや、権限昇格などのセキュリティリスクが発生する可能性がある。

ChurchCRM 5.13.0の脆弱性詳細

ストアドXSSについて

ストアドXSS（Stored Cross-Site Scripting）とは、Webアプリケーションの脆弱性の一種で、悪意のあるスクリプトがサーバーに保存され、他のユーザーがページにアクセスした際に実行される攻撃手法のことを指す。主な特徴として、以下のような点が挙げられる。

• サーバー側にスクリプトが永続的に保存される
• 複数のユーザーに影響を与える可能性がある
• セッション情報の窃取やクライアント側の改ざんが可能

ChurchCRMの事例では、管理者権限を持つ攻撃者がグループエディタの説明フィールドに悪意のあるJavaScriptを挿入することで、認証済みユーザーのセッションクッキーを窃取できる。このような攻撃は持続的な影響を持ち、被害が広範囲に及ぶ可能性があるため、早急な対策が必要となる。

ChurchCRMの脆弱性に関する考察

ChurchCRMの管理者権限を必要とする今回の脆弱性は、内部犯行のリスクを浮き彫りにしている。教会組織という性質上、管理者と一般ユーザー間の信頼関係が前提となっているが、悪意のある管理者による攻撃の可能性を考慮したセキュリティ設計が必要となるだろう。特に機密性の高い個人情報や寄付情報を扱うシステムでは、権限分離や入力値の厳格なバリデーションが重要である。

今後は、管理者権限を持つユーザーの操作に対しても適切なサニタイズ処理を実装することが求められる。同時に、重要な設定変更や機密情報へのアクセスには複数管理者による承認を必要とするなど、チェック機能の強化も検討すべきだ。定期的なセキュリティ監査や、ログ監視の強化も有効な対策となるだろう。

また、教会管理システムのセキュリティ強化には、開発者とユーザー双方の意識向上が不可欠となる。特に小規模な教会では、技術的な知識が限られている場合も多いため、セキュリティリスクの理解促進と、実践的な対策手順の共有が重要になってくるはずだ。長期的には、セキュリティ教育プログラムの提供も検討に値する。

参考サイト

1. ^ CVE. 「CVE: Common Vulnerabilities and Exposures」. https://www.cve.org/CVERecord?id=CVE-2025-0981, (参照 25-02-27).

※上記コンテンツはAIで確認しておりますが、間違い等ある場合はコメントよりご連絡いただけますと幸いです。

「セキュリティ」に関するコラム一覧「セキュリティ」に関するニュース一覧