【CVE-2025-30342】OpenSlides 4.2.5未満にXSS脆弱性、リンク属性を介したJavaScript実行の危険性が発覚

text: XEXEQ編集部
（記事は執筆時の情報に基づいており、現在では異なる場合があります）

IT・テックのコネクトメディア「ゼゼック」
カテゴリ毎のアーカイブ記事一覧
【カテゴリ別】2025年03月のアーカイブ一覧
【2025年03月】セキュリティに関するアーカイブ一覧
【2025年03月27日】セキュリティに関するアーカイブ一覧
【CVE-2025-30342】OpenSlides 4.2.5未満にXSS脆弱性、リンク属性を介したJavaScript実行の危険性が発覚

記事の要約

OpenSlides 4.2.5未満にXSS脆弱性が発見される
リンク属性を通じたJavaScriptコード実行が可能
onmouseover属性によるユーザーセッションの悪用が可能

OpenSlides 4.2.5未満のXSS脆弱性に関する警告

MITREは2025年3月21日、OpenSlidesの4.2.5より前のバージョンにおいてクロスサイトスクリプティング（XSS）の脆弱性を発見したことを公開した。この脆弱性は【CVE-2025-30342】として識別され、モデレーターノートやアジェンダトピックなどの説明文入力時にテキストフォーマット用エディターを介してHTML要素の挿入が可能となっている。^[1]

SCRIPTタグの挿入時には適切にエンコードされているものの、リンクへの属性追加が可能となっており、onmouseover属性などを通じてJavaScriptコードを実行できる状態にある。ユーザーが細工されたリンクにマウスカーソルを合わせた際に、そのユーザーのセッション内でJavaScriptが実行される危険性が確認されている。

この脆弱性に関してCVSS（共通脆弱性評価システム）のスコアは5.4（中程度）と評価されており、攻撃元区分はネットワーク、攻撃条件の複雑さは低いとされている。また攻撃には特権が必要であり、ユーザーの関与も必要とされているが、影響の範囲に変更が生じる可能性があるとの指摘もなされている。

OpenSlides 4.2.5未満の脆弱性詳細

項目	詳細
CVE番号	CVE-2025-30342
影響を受けるバージョン	4.2.5未満
脆弱性の種類	クロスサイトスクリプティング（XSS）
CVSSスコア	5.4（中程度）
攻撃条件	特権とユーザーの関与が必要

脆弱性の詳細はこちら

クロスサイトスクリプティング（XSS）について

クロスサイトスクリプティング（XSS）とは、Webアプリケーションの脆弱性の一種であり、攻撃者が悪意のあるスクリプトをWebページに埋め込むことができる脆弱性のことを指す。主な特徴として、以下のような点が挙げられる。

ユーザーの入力データが適切にサニタイズされずにWebページに出力される
攻撃者が任意のJavaScriptコードを実行可能になる
ユーザーのセッション情報や個人情報が窃取される可能性がある

OpenSlidesの脆弱性では、テキストエディター機能を通じてHTMLリンクの属性にJavaScriptコードを埋め込むことが可能となっており、ユーザーがリンクにマウスカーソルを合わせた際にコードが実行される。この攻撃手法は特に反射型XSSに分類され、ユーザーの操作を必要とするものの、適切な対策が施されていない場合、深刻な情報漏洩につながる可能性がある。

OpenSlides 4.2.5未満のXSS脆弱性に関する考察

OpenSlidesのXSS脆弱性は、テキストエディターの機能を悪用するという巧妙な手法が用いられている点で注目に値する。SCRIPTタグのエンコードは適切に行われているものの、リンク属性の検証が不十分であったことから、従来の対策では防ぎきれない新たな攻撃手法が確立された可能性がある。今後は同様の手法を用いた攻撃が他のアプリケーションでも発生する可能性があるだろう。

この脆弱性への対応として、入力値のサニタイズ処理を強化するだけでなく、許可する属性のホワイトリスト化やコンテンツセキュリティポリシー（CSP）の適切な設定が重要となる。特にテキストエディター機能を提供するアプリケーションでは、HTML要素の扱いに関する包括的なセキュリティレビューが必要不可欠である。

また、CVSSスコアが中程度と評価されているものの、特権ユーザーによる攻撃が可能である点は見過ごせない。管理者権限を持つアカウントが侵害された場合、複数のユーザーに影響が及ぶ可能性があるため、特権アカウントの管理体制の見直しも併せて検討する必要があるだろう。