ソフトウェア・インテグリティ

 

[CyRC脆弱性勧告]Directus内に保存されたXSS

CVE-2022-24814は、Directusの管理アプリケーションでアカウントの侵害につながる可能性のある保存されたXSSの脆弱性です。

Directus vulnerability | Synopsys

概要

Synopsys Cybersecurity Research Center (CyRC) の調査により、Directusに保存されたXSS(クロスサイト・スクリプティング)の脆弱性が発見されました。このJavaScriptで構築されたよく使われているオープンソースのヘッドレスCMS(コンテンツ・マネジメント・システム)のDirectusは、ウェブベースの管理用アプリケーションによって、利用者がコンテンツや コレクションを表示、管理することができます。

Directusで発見された脆弱性

  • CVE-2022-24814: Directusのファイルアップロードに保存されたXSS

ノート:同様な脆弱性は以前にCVE-2022-22116およびCVE-2022-22117で報告されていたが、これらの緩和策はDirectus 9.4.2用のもので効果がなく、またバイパスすることが可能です。

影響のあるソフトウェア

  • Directus v9.6.0 以降

影響

Directusにアクセスできる認証済みユーザーは、ファイルアップロード機能を悪用して、他のユーザーがDirectus内の特定のコレクションまたはファイルを表示した際に自動的に実行される「保存されたXSS」攻撃を作成できます。最悪の場合、管理者アカウントの侵害につながり、攻撃者にDirectus内のすべてのデータと設定へのフルアクセスを与えてしまう可能性があります。

CVSS 3.1 base score: 5.4 (Medium)
CVSS 3.1 vector: CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N/E:P/RL:O/RC:C

緩和策

Directus v9.7.0 以降へのアップグレード。詳しくはリリースノートを参照ください。(https://github.com/directus/directus/releases)

発見者

はシノプシスのAssociate Principal Consultantで、この脆弱性を発見しました。
Directusチームの対応と、この脆弱性にタイムリーに対処したことを称賛いたします。

タイムライン

  • 2022年 1月28日:最初の開示
  • 2022年 3月 7日:Directusのセキュリティチームは脆弱性を確認しパッチの提供を決定
  • 2022年 3月18日:Directus v9.7.0のリリースによるCVE-2022-24814の修正
  • 2022年 4月11日:シノプシスによる脆弱性勧告の公開
 

この著者によるその他の情報