セキュリティ

SECURITY

公開：2025-03-11

【CVE-2024-57026】TawkTo Widgetにクロスサイトスクリプティングの脆弱性、バージョン1.3.7以下で発見

text: XEXEQ編集部
（記事は執筆時の情報に基づいており、現在では異なる場合があります）

記事の要約

• TawkTo Widgetに深刻なXSS脆弱性が発見
• バージョン1.3.7以下のTawkTo Widgetが影響対象
• JavaScript実行を許可する不適切な入力処理が原因

TawkTo Widget 1.3.7以下のバージョンでXSS脆弱性が発見

セキュリティ研究者らは2025年2月24日、チャットウィジェットサービスTawkTo Widgetのバージョン1.3.7以下に深刻なクロスサイトスクリプティング（XSS）の脆弱性が存在することを公開した。この脆弱性は【CVE-2024-57026】として識別されており、ユーザー入力の不適切な処理によってJavaScriptコードの実行が可能になる問題が確認されている。^[1]

米国土安全保障省のサイバーセキュリティ・インフラストラクチャセキュリティ庁（CISA）は2025年3月3日にこの脆弱性の評価を更新し、CVSSスコア6.1（深刻度：中）を割り当てた。攻撃者は特別な権限を必要とせずにこの脆弱性を悪用できるが、ユーザーの操作が必要となることが明らかになっている。

脆弱性の技術的な分類ではCWE-79（Webページ生成時の入力の不適切な無害化）に分類され、攻撃の複雑さは低いと評価されている。この脆弱性は特にWebアプリケーションのセキュリティに関心が高まる中、チャットウィジェットの安全な実装の重要性を再認識させる事例となった。

TawkTo Widget 1.3.7の脆弱性詳細

クロスサイトスクリプティングについて

クロスサイトスクリプティング（XSS）とは、Webアプリケーションの脆弱性の一種で、攻撃者が悪意のあるスクリプトをWebページに挿入できる問題のことを指す。主な特徴として、以下のような点が挙げられる。

• ユーザーの入力値が適切にサニタイズされずにWebページに出力される
• 攻撃者が任意のJavaScriptコードを実行可能になる
• セッションの乗っ取りやマルウェアの配布に悪用される可能性がある

この脆弱性はCVSSベクトル文字列CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:Nで示されるように、ネットワーク経由での攻撃が可能で攻撃の複雑さは低いとされている。攻撃者は特別な権限を必要とせずに攻撃を実行できるが、ユーザーの操作が必要となるため、その点では攻撃の難易度が上がる要素となっている。

TawkTo Widgetの脆弱性に関する考察

TawkTo Widgetの脆弱性は、Webチャットウィジェットの実装における入力検証の重要性を改めて浮き彫りにした事例として注目に値する。特にユーザー入力を扱うチャットシステムでは、クロスサイトスクリプティング対策が基本的なセキュリティ要件であるにもかかわらず、適切な実装がなされていなかった点は大きな課題だ。

今後はWebアプリケーションのセキュリティ対策として、入力値のサニタイズ処理の実装が一層重要になってくるだろう。特にチャットウィジェットのような双方向のコミュニケーションツールでは、ユーザー入力の処理に関する厳密なセキュリティレビューとテストが必要不可欠となる。

さらにTawkToのような広く利用されているサービスでは、セキュリティアップデートの迅速な提供と、ユーザーへの適切な情報提供が求められる。脆弱性が発見された場合の対応プロセスを明確化し、影響を受けるユーザーへの通知体制を整備することが、今後のセキュリティインシデント対応において重要な課題となるだろう。

参考サイト

1. ^ CVE. 「CVE: Common Vulnerabilities and Exposures」. https://www.cve.org/CVERecord?id=CVE-2024-57026, (参照 25-03-11).

※上記コンテンツはAIで確認しておりますが、間違い等ある場合はコメントよりご連絡いただけますと幸いです。

「セキュリティ」に関するコラム一覧「セキュリティ」に関するニュース一覧