【CVE-2025-30345】OpenSlides 4.2.5未満にHTMLインジェクションの脆弱性、チャット機能に影響

text: XEXEQ編集部
（記事は執筆時の情報に基づいており、現在では異なる場合があります）

IT・テックのコネクトメディア「ゼゼック」
カテゴリ毎のアーカイブ記事一覧
【カテゴリ別】2025年03月のアーカイブ一覧
【2025年03月】セキュリティに関するアーカイブ一覧
【2025年03月27日】セキュリティに関するアーカイブ一覧
【CVE-2025-30345】OpenSlides 4.2.5未満にHTMLインジェクションの脆弱性、チャット機能に影響

記事の要約

OpenSlides 4.2.5より前のバージョンに脆弱性が発見
チャットグループ作成時にHTMLフィルタリングが不完全
削除済みチャットやメッセージでHTMLエンコードに問題

OpenSlides 4.2.5未満のバージョンにHTMLインジェクションの脆弱性

IntevationのOpenSlidesにおいて、バージョン4.2.5より前のバージョンでHTMLインジェクションの脆弱性が発見され、2025年3月21日に公開された。この脆弱性は【CVE-2025-30345】として識別されており、chat_group.createアクションを通じてチャットを作成する際にHTMLフィルタリングが不完全であることが問題となっている。^[1]

この脆弱性では、SCRIPTなどの一部のHTML要素はフィルタリングされているものの、他の要素については適切なフィルタリングが行われていないことが判明した。通常のケースではHTML実体は適切にエンコードされているが、チャットやメッセージの削除時にエンコードが行われない問題が存在している。

CVSSスコアは3.1で深刻度は低く評価されており、攻撃者がこの脆弱性を悪用するには被害者が削除済みのチャットやメッセージにアクセスする必要があるため、実際の被害発生の可能性は限定的とされている。攻撃の成功には攻撃者がネットワークアクセス権を持ち、さらにユーザーの操作が必要となる。

OpenSlides 4.2.5未満の脆弱性詳細

項目	詳細
CVE番号	CVE-2025-30345
影響を受けるバージョン	4.2.5未満
脆弱性の種類	HTMLインジェクション
CVSSスコア	3.1（低）
攻撃条件	ネットワークアクセス権とユーザーの操作が必要

脆弱性の詳細についてはこちら

HTMLインジェクションについて

HTMLインジェクションとは、Webアプリケーションに対して不正なHTMLコードを注入する攻撃手法のことを指す。主な特徴として、以下のような点が挙げられる。

Webページのレイアウトや表示内容を改ざんすることが可能
クロスサイトスクリプティング攻撃の一種として分類される
適切なエスケープ処理やフィルタリングで防御可能

この脆弱性は適切なHTMLエンコードやフィルタリングが行われていない場合に発生する可能性がある。OpenSlidesの事例では、削除済みチャットやメッセージにおいてHTMLエンコードが適切に行われていないため、攻撃者がWebサイトのレイアウトを改ざんする可能性が存在している。

OpenSlides 4.2.5未満の脆弱性に関する考察

OpenSlidesの脆弱性は深刻度が低く評価されているものの、チャットシステムにおけるHTMLフィルタリングの重要性を再認識させる事例となっている。特にユーザー入力を含むシステムでは、一部のHTML要素だけでなく全ての要素に対して適切なフィルタリングを実施することが重要であり、削除済みコンテンツに対しても同様の対策が必要となるだろう。

今後は削除済みコンテンツに対するセキュリティ対策の強化が求められる。特にチャットシステムではメッセージの削除が頻繁に行われるため、削除処理時のHTMLエンコードの徹底やフィルタリングの強化が必要となってくるだろう。

OpenSlidesの開発チームには、バージョン4.2.5以降でもHTMLインジェクション対策の継続的な改善が期待される。特にチャットグループの作成や削除といった基本的な機能において、セキュリティ面での配慮を怠らないことが重要となってくる。