CVE-2024-34452
CMSimple_XH におけるクロスサイトスクリプティング (XSS) の脆弱性
報告者
Suraj Theekshana
概要
CMSimple_XH バージョン 1.7.6 において、アップロードされた SVG ファイルの検証が不十分なため、クロスサイトスクリプティング(XSS)脆弱性があります。
影響
攻撃者が細工した JavaScript を埋め込んだ SVG をアップロードすると、その SVG を表示した際にスクリプトがアプリケーションの文脈で実行され、セッション乗っ取りやユーザーアカウントの不正利用などの XSS による被害が発生する可能性があります。
重要度
NVD の CVSS v3 基本スコアは 6.1(中程度)とされています。
基本スコア(Base Score)
6.1 (Medium)
CVSS Vector:
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:N/A:N
攻撃元区分(Attack Vector)
ネットワーク(Network)
隣接ネットワーク(Adjacent)
ローカル環境(Local)
物理アクセス(Physical)
攻撃の複雑さ(Attack Complexity)
低(Low)
高(High)
必要な権限(Privileges Required)
不要(None)
低(Low)
高(High)
ユーザー関与(User Interaction)
不要(None)
必要(Required)
スコープ(Scope)
変更なし(Unchanged)
変更あり(Changed)
機密性(Confidentiality)
影響なし(None)
低(Low)
高(High)
完全性(Integrity)
影響なし(None)
低(Low)
高(High)
可用性(Availability)
影響なし(None)
低(Low)
高(High)
参考情報
• NVD(公式エントリ):https://nvd.nist.gov/vuln/detail/CVE-2024-34452
• GitHub(PoC を検索):https://github.com/search?q=CVE-2024-34452