セキュリティ

SECURITY

公開：2025-02-28

【CVE-2025-1024】ChurchCRM 5.13.0でXSS脆弱性が発見、セッションハイジャックのリスクが深刻化

text: XEXEQ編集部
（記事は執筆時の情報に基づいており、現在では異なる場合があります）

記事の要約

• ChurchCRM 5.13.0にXSS脆弱性が発見
• EditEventAttendees.phpのEIDパラメータに影響
• セッションハイジャックのリスクが判明

ChurchCRM 5.13.0のXSS脆弱性に関する詳細報告

Gridware Cybersecurityは2025年2月19日、ChurchCRM 5.13.0においてリフレクテッドクロスサイトスクリプティング脆弱性を発見したことを公開した。EditEventAttendees.phpページのEIDパラメータに影響する本脆弱性は、管理者権限を持つ攻撃者が任意のJavaScriptコードを実行できる深刻な問題となっている。^[1]

本脆弱性によって攻撃者はセッションクッキーの窃取や認証済みユーザーになりすましての操作が可能となり、アプリケーションへの不正アクセスのリスクが高まっている。NVDによる評価では、攻撃条件の複雑さは低く、機密性への影響が特に高いとされており、早急な対応が求められる状況だ。

CVSSスコアは8.4(High)と評価されており、攻撃者が管理者権限を必要とする一方で、攻撃の自動化や影響範囲の拡大が懸念される。また、CWE-287(不適切な認証)に分類されるこの脆弱性は、認証システム全体のセキュリティリスクを示唆している。

ChurchCRM 5.13.0の脆弱性詳細

クロスサイトスクリプティングについて

クロスサイトスクリプティング（XSS）とは、Webアプリケーションの脆弱性を悪用して、ユーザーのブラウザ上で不正なスクリプトを実行する攻撃手法のことを指す。主な特徴として、以下のような点が挙げられる。

• ユーザーの入力値が適切にサニタイズされずにページに反映される
• 攻撃者が任意のJavaScriptコードを注入可能
• セッション情報の窃取やなりすまし攻撃に悪用される

ChurchCRMで発見されたリフレクテッドXSSは、HTTPリクエストパラメータを介して悪意のあるスクリプトが注入される脆弱性タイプである。EditEventAttendees.phpのEIDパラメータに対する入力値の検証が不十分であることから、管理者権限を持つ攻撃者によって悪用される可能性が指摘されている。

ChurchCRM 5.13.0の脆弱性に関する考察

ChurchCRM 5.13.0の脆弱性は管理者権限が必要という点で攻撃の難易度は高いものの、一度攻撃に成功すると影響が広範囲に及ぶ可能性がある。特にセッション情報の窃取やなりすまし攻撃が可能となることから、教会の運営管理や個人情報の保護に重大な影響を及ぼす可能性が高いだろう。

今後の対策として、入力値のバリデーションやサニタイズ処理の強化、コンテンツセキュリティポリシーの適切な設定が必要不可欠となる。また、管理者アカウントの多要素認証の導入や定期的な権限見直しなど、認証システム全体の見直しも検討する必要があるだろう。

ChurchCRMの開発チームには、今回の脆弱性を踏まえたセキュリティ強化ロードマップの策定と、コミュニティへの透明性の高い情報共有が求められる。特にオープンソースソフトウェアとして、セキュリティ対策の実装プロセスを明確化し、ユーザーの信頼回復に努める必要があるだろう。

参考サイト

1. ^ CVE. 「CVE: Common Vulnerabilities and Exposures」. https://www.cve.org/CVERecord?id=CVE-2025-1024, (参照 25-02-28).

※上記コンテンツはAIで確認しておりますが、間違い等ある場合はコメントよりご連絡いただけますと幸いです。

「セキュリティ」に関するコラム一覧「セキュリティ」に関するニュース一覧