セキュリティの
学び場

今回の解説ニュース

Redmineの脆弱性が発見されています。ご利用中の方は最新版へのアップデートを検討してください。発見された脆弱性の内容と、同様の脆弱性が悪用された際の被害について説明します。

今回の脆弱性は、Redmineにクロスサイトスクリプティングの脆弱性が存在するというものです。影響を受けるシステムは、Redmine 4.2.10およびそれ以前のバージョンと、Redmine 5.0.0から5.0.5までのバージョンです。影響として、当該製品を使用しているユーザのウェブブラウザ上で任意のスクリプトを実行される可能性があるということです。

深刻度を表すCVSSv3の基本値は6.1で、3番目に高い「警告」とされています。脆弱性の詳細は、本脆弱性に割り当てられたCVE番号「CVE-2023-47259」で検索してみてください。

発見された脆弱性の内容

クロスサイトスクリプティングの脆弱性が悪用されることで、個人情報やクレジットカード情報が漏洩した事例が存在しています。あくまでも一例となりますが、どのように悪用されるか、順を追って説明します。

まず、攻撃者がクロスサイトスクリプティングを悪用するためのWebページを用意します。Webページは攻撃者が作成する場合もありますし、攻撃者がデータをクロスサイトスクリプティングがあるWebサイトへ送信することで作成される場合もあります。

そして、攻撃者の用意したWebページを被害者が開いてしまうことにより、攻撃者がクロスサイトスクリプティングのあるWebサイトで被害者のアクセス権限を奪うことができます。被害者がWebサイトの一般ユーザであれば、本人情報へアクセスされるにとどまりますが、被害者が管理ユーザであれば、Webサイトのあらゆる情報にアクセスされたり、Webサイトを変更されたりする場合もあります。

結果として、クロスサイトスクリプティングを悪用されることで、ECサイトであればクレジットカード情報が漏洩したり、それ以外のWebサイトでも、フィッシングサイトへ改ざんされてしまうなどの事例が確認されています。

脆弱性が悪用された際の被害

Redmineは、プロジェクト管理をするためのソフトウェアなので、クロスサイトスクリプティングが悪用されると、プロジェクトに関する情報が漏洩する可能性があります。

Redmineを利用することで、プロジェクトの進捗を管理したり、チームのタスクをメンバーと共有したりすることができますので、システム開発や業務管理など、様々な場面で利用されています。クロスサイトスクリプティングが悪用されると、被害者が持つWebサイト上の権限が奪われてしまう場合ありますので、攻撃者がプロジェクトに関する情報にアクセスする可能性があります。

Redmineは様々な場面で利用されていることから、場合によってはプロジェクト以外の機密情報が漏洩する可能性もあります。もし、Redmineをお使いの方がいらっしゃれば、その用途と合わせて、脆弱性が存在するバージョンをお使いでないか、今一度ご確認してみてはいかがでしょうか。