サービスに関する
お問い合わせ

緊急対応 専用窓口

セキュリティの緊急事態が発生したらご遠慮なくお問い合わせください。ご相談は無料です。

セキュリティの
学び場

Redmine にXSSの脆弱性

Redmine にXSSの脆弱性
目次
  • 今回の解説ニュース
  • 発見された脆弱性の内容
  • 脆弱性が悪用された際の被害

こちらの記事は、セキュリティ専門家の松野によるニュース解説ラジオ「今日の10分セキュリティラジオ」の放送内容を文字に起こしご紹介しています。

今回の解説ニュース

Redmine にXSSの脆弱性

独立行政法人情報処理推進機構(IPA)および一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)は11月17日、Redmine におけるクロスサイトスクリプティングの脆弱性について「Japan Vulnerability Notes(JVN)」で発表した。(記事はこちら)

【お届けするニュースはサイバーセキュリティ専門ニュースサイト「ScanNetSecurity」の提供でお送りしています。】

Redmineの脆弱性が発見されています。ご利用中の方は最新版へのアップデートを検討してください。発見された脆弱性の内容と、同様の脆弱性が悪用された際の被害について説明します。

今回の脆弱性は、Redmineにクロスサイトスクリプティングの脆弱性が存在するというものです。影響を受けるシステムは、Redmine 4.2.10およびそれ以前のバージョンと、Redmine 5.0.0から5.0.5までのバージョンです。影響として、当該製品を使用しているユーザのウェブブラウザ上で任意のスクリプトを実行される可能性があるということです。

深刻度を表すCVSSv3の基本値は6.1で、3番目に高い「警告」とされています。脆弱性の詳細は、本脆弱性に割り当てられたCVE番号「CVE-2023-47259」で検索してみてください。

発見された脆弱性の内容

クロスサイトスクリプティングの脆弱性が悪用されることで、個人情報やクレジットカード情報が漏洩した事例が存在しています。あくまでも一例となりますが、どのように悪用されるか、順を追って説明します。

まず、攻撃者がクロスサイトスクリプティングを悪用するためのWebページを用意します。Webページは攻撃者が作成する場合もありますし、攻撃者がデータをクロスサイトスクリプティングがあるWebサイトへ送信することで作成される場合もあります。

そして、攻撃者の用意したWebページを被害者が開いてしまうことにより、攻撃者がクロスサイトスクリプティングのあるWebサイトで被害者のアクセス権限を奪うことができます。被害者がWebサイトの一般ユーザであれば、本人情報へアクセスされるにとどまりますが、被害者が管理ユーザであれば、Webサイトのあらゆる情報にアクセスされたり、Webサイトを変更されたりする場合もあります。

結果として、クロスサイトスクリプティングを悪用されることで、ECサイトであればクレジットカード情報が漏洩したり、それ以外のWebサイトでも、フィッシングサイトへ改ざんされてしまうなどの事例が確認されています。

脆弱性が悪用された際の被害

Redmineは、プロジェクト管理をするためのソフトウェアなので、クロスサイトスクリプティングが悪用されると、プロジェクトに関する情報が漏洩する可能性があります。

Redmineを利用することで、プロジェクトの進捗を管理したり、チームのタスクをメンバーと共有したりすることができますので、システム開発や業務管理など、様々な場面で利用されています。クロスサイトスクリプティングが悪用されると、被害者が持つWebサイト上の権限が奪われてしまう場合ありますので、攻撃者がプロジェクトに関する情報にアクセスする可能性があります。

Redmineは様々な場面で利用されていることから、場合によってはプロジェクト以外の機密情報が漏洩する可能性もあります。もし、Redmineをお使いの方がいらっしゃれば、その用途と合わせて、脆弱性が存在するバージョンをお使いでないか、今一度ご確認してみてはいかがでしょうか。

Voicyでニュース解説ラジオ配信中!

今日の10分セキュリティラジオにて毎週月・水・金にセキュリティの最新ニュースを取り上げ解説を行っています。隙間の時間の情報収集にぜひお役立てください!

この記事の著者 セキュラジチーム

話題になっているセキュリティニュースやセキュリティに関する疑問を専門家の解説と個性豊かなパーソナリティたちがお送りしています。1日10分で、気軽にセキュリティの知識を深めることができます。放送は月曜・水曜・金曜の朝7時15分。

\ 記事をシェアする /

サービスに関する
お問い合わせ