CVE: CVE-2022-30278
重大度:High (7.1 CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:U/C:H/I:H/A:L)
公開日:2022年5月9日
最終更新日:2022年5月9日
概要
Black Duck Hubで使用しているMadCap Flareを用いたドキュメントファイルによって引き起こされるクロス・サイト・スクリプティング(XSS)の脆弱性により、未認証のリモートの攻撃者によるクロス・サイト・スクリプティング(XSS)攻撃の可能性があります。
この脆弱性は、Black Duck Hubのヘルプドキュメントに埋め込まれているMadCap Flareのフレームワークへのユーザーの入力の検証が不適切なことが原因です。攻撃者は、悪意のある入力をインターフェイスに渡すように設計されたリンクをクリックするようにユーザーを誘導してXSS攻撃を実行し、ブラウザベースの機密情報にアクセスする可能性があります。
CVE-2022-30278 は、2022年4月28日にリリースされたBlack Duck Hub バージョン2022.4で対処済みで、次のリンクから確認できます。
https://github.com/blackducksoftware/hub/releases/tag/v2022.4.0
緩和策
2022年5月5日、シノプシスがホストしているBlack Duck Hubは2022.4に更新されており、この脆弱性は解消されています。
また、お客様の環境でBlack Duck Hubをお使いの場合、適切なバージョンに更新いただく必要があります。詳しくはサポートにお問い合わせください。
https://community.synopsys.com/s/contactsupport
Continue Reading
2024 OSSRA レポート:オープンソース・コンポーネントの古いコードのリスク
Apr 17, 2024 / 1 min read
![[CyRC脆弱性勧告]CVE-2023-23846 Open5GS GTPライブラリのサービス拒否の脆弱性](https://images.synopsys.com/is/image/synopsys/cyrc-advisory-open5gs-gtp-library?ts=1697087353416&$responsive$)
