独立行政法人情報処理推進機構(IPA)および一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)は3月18日、FitNesse における複数の脆弱性について「Japan Vulnerability Notes(JVN)」で発表した。GMOサイバーセキュリティ byイエラエ株式会社の西谷完太氏と渡部裕氏が報告を行っている。影響を受けるシステムは以下の通り。
SKYSEA Client View に複数の脆弱性、ラック北原氏他 報告
・CVE-2024-28128
FitNesse リリース 20220319 より前
・CVE-2024-23604, CVE-2024-28039, CVE-2024-28125
FitNesse すべてのリリース
FitNesse には、下記の影響を受ける可能性がある複数の脆弱性が存在する。
・クロスサイトスクリプティング(CVE-2024-23604)
→当該製品を使用しているユーザが複数のパラメータを細工されたリンクにアクセスすると、このユーザのウェブブラウザ上で任意のスクリプトが実行される
・クロスサイトスクリプティング(CVE-2024-28128)
→当該製品を使用しているユーザが特定のパラメータを細工されたリンクにアクセスすると、このユーザのウェブブラウザ上で任意のスクリプトが実行される
・XML 外部エンティティ参照 (XXE) の不適切な制限(CVE-2024-28039)
→当該製品のユーザによって、機微な情報の窃取、データの改ざんおよびサービス運用妨害(DoS)攻撃が行われる
・OS コマンドインジェクション(CVE-2024-28125)
→当該製品のユーザによって、任意の OS コマンドを実行される
JVNでは、下記の対策を行うよう呼びかけている。
・CVE-2024-28128
開発者が提供する情報をもとに最新版にアップデート
※本脆弱性は、FitNesse リリース 20220319 で修正されている。
・CVE-2024-23604, CVE-2024-28039, CVE-2024-28125
Security Policy に示す Using FitNesse Safely の適用
