ソフトウェア・インテグリティ

 

[CyRC脆弱性勧告]Black Duck Hubのクロス・サイト・スクリプティングの脆弱性

CVE-2022-30278は、Black Duck Hubで使用しているMadCap Flareを用いたドキュメントファイルの構成によって引き起こされるクロス・サイト・スクリプティング(XSS)の脆弱性です。

CVE-2022-30278 announcement | Synopsys

CVE: CVE-2022-30278
重大度:High (7.1 CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:U/C:H/I:H/A:L)
公開日:2022年5月9日
最終更新日:2022年5月9日

概要

Black Duck Hubで使用しているMadCap Flareを用いたドキュメントファイルによって引き起こされるクロス・サイト・スクリプティング(XSS)の脆弱性により、未認証のリモートの攻撃者によるクロス・サイト・スクリプティング(XSS)攻撃の可能性があります。

この脆弱性は、Black Duck Hubのヘルプドキュメントに埋め込まれているMadCap Flareのフレームワークへのユーザーの入力の検証が不適切なことが原因です。攻撃者は、悪意のある入力をインターフェイスに渡すように設計されたリンクをクリックするようにユーザーを誘導してXSS攻撃を実行し、ブラウザベースの機密情報にアクセスする可能性があります。

CVE-2022-30278 は、2022年4月28日にリリースされたBlack Duck Hub バージョン2022.4で対処済みで、次のリンクから確認できます。
https://github.com/blackducksoftware/hub/releases/tag/v2022.4.0

緩和策

2022年5月5日、シノプシスがホストしているBlack Duck Hubは2022.4に更新されており、この脆弱性は解消されています。

また、お客様の環境でBlack Duck Hubをお使いの場合、適切なバージョンに更新いただく必要があります。詳しくはサポートにお問い合わせください。
https://community.synopsys.com/s/contactsupport

 

この著者によるその他の情報