CVE-2024-34452
CMSimple_XH におけるクロスサイトスクリプティング (XSS) の脆弱性
報告者
Suraj Theekshana
概要
CMSimple_XH バージョン 1.7.6 において、アップロードされた SVG ファイルの検証が不十分なため、クロスサイトスクリプティング(XSS)脆弱性があります。
影響
攻撃者が細工した JavaScript を埋め込んだ SVG をアップロードすると、その SVG を表示した際にスクリプトがアプリケーションの文脈で実行され、セッション乗っ取りやユーザーアカウントの不正利用などの XSS による被害が発生する可能性があります。
重要度
NVD の CVSS v3 基本スコアは 6.1(中程度)とされています。
基本スコア(Base Score)
6.1 (Medium)
CVSS Vector:
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:N/A:N
攻撃元区分(Attack Vector)
ネットワーク(Network)
隣接ネットワーク(Adjacent)
ローカル環境(Local)
物理アクセス(Physical)
攻撃の複雑さ(Attack Complexity)
低(Low)
高(High)
必要な権限(Privileges Required)
不要(None)
低(Low)
高(High)
ユーザー関与(User Interaction)
不要(None)
必要(Required)
スコープ(Scope)
変更なし(Unchanged)
変更あり(Changed)
機密性(Confidentiality)
影響なし(None)
低(Low)
高(High)
完全性(Integrity)
影響なし(None)
低(Low)
高(High)
可用性(Availability)
影響なし(None)
低(Low)
高(High)
参考情報
• NVD(公式エントリ):https://nvd.nist.gov/vuln/detail/CVE-2024-34452
• GitHub(PoC を検索):https://github.com/search?q=CVE-2024-34452
投稿者プロフィール
-
Associate Red Team Engineer | Bug Bounty Hunter
スリランカ初のHackTheBox Offshore認定を取得したセキュリティエンジニアです。レッドチーム演習、ワイヤレスセキュリティ、マルウェア解析、リバースエンジニアリングを専門とし、Allianz、Crowdstrike、Nokia、WSO2、PayHere、HackerOneなどの大手プラットフォームで重要な脆弱性を発見してきました。複数のHall of Fameに名を連ねるほか、CVE(CVE-2024-34452, CVE-2024-48605)への貢献実績を持ち、世界的に高く評価されています。
主な保有資格:
● OSCP+(OffSec Certified Professional Plus)
● OSCP(Offensive Security Certified Professional)
● OSWP(Offensive Security Wireless Professional)
● HTB Offshore Penetration Tester(Level 3)
● Active Directory Penetration Testing Skill Path
最新の投稿
2025.11.18CVE-2025-64027- 2025.11.07CVE-2025-63589
- 2025.11.07CVE-2025-63588
- 2025.10.09CVE-2024-48605