今回の解説ニュース

ニュース概要

今回の脆弱性は、unclebobが提供するFitNesseに、responderプラグイン設定に関わるクロスサイトスクリプティングとパストラバーサルの脆弱性が存在するというものです。影響を受けるシステムは、FitNesse リリース 20241026より前のバージョンです。影響として、当該製品を使用しているユーザーのWebブラウザ上で任意のスクリプトを実行されたり、特定パスのファイル有無や特定の条件下でファイル内容の一部を取得されたりする可能性があるということです。
深刻度を表すCVSSv3の基本値は6.1と5.3で、3番目に高い「警告」とされています。脆弱性の詳細は、本脆弱性に割り当てられたCVE番号「CVE-2024-39610」「CVE-2024-42499」で検索してみてください。

クロスサイトスクリプティングとは

クロスサイトスクリプティングとは、攻撃者がWebアプリケーションに悪意のあるスクリプトを挿入し、他のユーザーのブラウザ上でそのスクリプトを実行させる攻撃手法です。FitNesseの場合、この脆弱性を利用されると、攻撃者はFitNesseを利用しているユーザーのセッション情報を盗んだり、意図しない操作をさせられたりする可能性があります。

クロスサイトスクリプティングの具体的な影響

クロスサイトスクリプティングの具体的な影響として、認証情報を盗み、他のユーザーになりすますことができるセッションハイジャックや、攻撃者が用意したJavaScriptなどを実行させ、システムに不正な操作を行わせることなどが挙げられます。

一般的な対策

一般的な対策として、ユーザーからの入力をチェックして、不正な文字列が含まれていないか確認したり、Webの画面として出力する前に、HTMLタグなどの特殊文字をエスケープ処理することが挙げられます。また、定期的に脆弱性診断を行い、新たな脆弱性がないか確認することも有効です。

パストラバーサルとは

パストラバーサルとは、Webアプリケーションなどで発生する脆弱性の一種で、攻撃者が意図しないディレクトリにアクセスできるようになる攻撃手法です。FitNesseのようなテストツールにおいても、この脆弱性が存在する可能性があります。

パストラバーサルの具体的な影響

パストラバーサルの具体的な影響として、システムの構成ファイルやソースコードなど、機密性の高いファイルが閲覧されてしまう可能性があります。

一般的な対策

一般的な対策として、ユーザーが入力したパスをホワイトリスト形式で検証し、許可されたパスのみを処理することが挙げられます。また、相対パスではなく、絶対パスを使用することで、攻撃者が意図しないディレクトリに移動することを防ぐことができる場合があります。

発見された2つの脆弱性の原因

今回、発見された2つの脆弱性の原因として、FitNesseのresponderプラグインの設定に問題があり、ユーザーが入力した内容が適切に処理されていなかったことが挙げられています。FitNesseのようなパッケージ製品で古いバージョンを使い続けている場合は、速やかに最新版にアップデートすることが重要です。また、カスタムプラグインを使用している場合は、そのプラグインにも脆弱性がないか確認するようにしましょう。