CVE-2024-34452
CMSimple_XH におけるクロスサイトスクリプティング (XSS) の脆弱性
報告者
Suraj Theekshana
概要
CMSimple_XH バージョン 1.7.6 において、アップロードされた SVG ファイルの検証が不十分なため、クロスサイトスクリプティング(XSS)脆弱性があります。
影響
攻撃者が細工した JavaScript を埋め込んだ SVG をアップロードすると、その SVG を表示した際にスクリプトがアプリケーションの文脈で実行され、セッション乗っ取りやユーザーアカウントの不正利用などの XSS による被害が発生する可能性があります。
重要度
NVD の CVSS v3 基本スコアは 6.1(中程度)とされています。
基本スコア(Base Score)
6.1 (Medium)
CVSS Vector:
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:N/A:N
攻撃元区分(Attack Vector)
ネットワーク(Network)
隣接ネットワーク(Adjacent)
ローカル環境(Local)
物理アクセス(Physical)
攻撃の複雑さ(Attack Complexity)
低(Low)
高(High)
必要な権限(Privileges Required)
不要(None)
低(Low)
高(High)
ユーザー関与(User Interaction)
不要(None)
必要(Required)
スコープ(Scope)
変更なし(Unchanged)
変更あり(Changed)
機密性(Confidentiality)
影響なし(None)
低(Low)
高(High)
完全性(Integrity)
影響なし(None)
低(Low)
高(High)
可用性(Availability)
影響なし(None)
低(Low)
高(High)
参考情報
• NVD(公式エントリ):https://nvd.nist.gov/vuln/detail/CVE-2024-34452
• GitHub(PoC を検索):https://github.com/search?q=CVE-2024-34452
投稿者プロフィール
-
CyberCrew(サイバークルー)は、企業の情報セキュリティをトータルで支援する専門チームです。高度なスキルを持つホワイトハッカーが在籍し、サイバー攻撃の監視・検知から初動対応、リスク診断や従業員向けのセキュリティ教育まで、幅広いサービスを提供。企業のニーズに応じた柔軟な対応で、安心・安全なIT環境の実現をサポートします。
最新の投稿
2025.10.09CVE-2024-48605- 2025.10.09CVE-2024-34452