無料スキャン
CRITICALCVE-2022-1345CVSS 9

.svg ファイルのアップロードによる causefx/organizr における保存型 XSS

プラットフォーム

other

コンポーネント

organizr

修正版

2.1.1810

AI Confidence: highNVDEPSS 0.3%レビュー済み: 2026年5月
NVDで見る
保存

CVE-2022-1345は、Organizrのバージョン2.1.1810以前に存在するクロスサイトスクリプティング(XSS)脆弱性です。この脆弱性は、.svgファイルがアップロードされる際に悪用され、攻撃者がユーザーのブラウザ上で悪意のあるスクリプトを実行することを可能にします。影響を受けるバージョンはOrganizr 2.1.1810以前であり、バージョン2.1.1810へのアップデートによって修正されています。

影響と攻撃シナリオ

このXSS脆弱性は、攻撃者にとって非常に危険な状況を生み出します。攻撃者は、悪意のあるJavaScriptコードを.svgファイルに埋め込み、ユーザーがこのファイルをアップロードした際に実行させることができます。これにより、攻撃者はユーザーのセッションをハイジャックしたり、機密情報を盗み出したり、さらにはユーザーのブラウザを完全に制御したりすることが可能になります。攻撃の成功は、ユーザーが脆弱なバージョンのOrganizrを使用していること、そして攻撃者が巧妙に悪意のあるコードを隠蔽していることに依存します。この脆弱性の悪用は、組織全体に広がる可能性があり、深刻なデータ漏洩やシステムへの不正アクセスにつながる可能性があります。

悪用の状況

CVE-2022-1345は、2022年4月13日に公開されました。現時点では、この脆弱性を悪用した具体的な攻撃事例は確認されていませんが、XSS脆弱性は一般的に悪用されやすいと考えられます。公開されているPoCは確認されていませんが、この脆弱性の性質上、攻撃者がPoCを作成し、悪用を試みる可能性は十分にあります。CISAのKEVリストにはまだ登録されていません。

リスク対象者翻訳中…

Organizations and individuals utilizing Organizr in their workflows, particularly those who rely on the application for data management or collaboration, are at risk. This includes developers, project managers, and anyone who interacts with the GitHub repository. Shared hosting environments where multiple users have upload privileges are particularly vulnerable.

検出手順翻訳中…

• other / generic web:

curl -I 'https://your-organizr-instance/path/to/uploaded_file.svg' | grep -i 'content-security-policy'

• generic web:

 grep -r '<script>' /var/log/apache2/access.log

• generic web:

 grep -r '<script>' /var/log/nginx/error.log

攻撃タイムライン

  1. Disclosure

    disclosure

  2. Patch

    patch

脅威インテリジェンス

エクスプロイト状況

概念実証不明
CISA KEVNO
インターネット露出

EPSS

0.33% (56% パーセンタイル)

CVSS ベクトル

脅威インテリジェンス· CVSS 3.1CVSS:3.0/AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:H9.0CRITICALAttack VectorNetwork攻撃者がターゲットに到達する方法Attack ComplexityLow悪用に必要な条件Privileges RequiredLow攻撃に必要な認証レベルUser InteractionRequired被害者の操作が必要かどうかScopeChanged影響コンポーネント外への波及ConfidentialityHigh機密データ漏洩のリスクIntegrityHigh不正データ改ざんのリスクAvailabilityHighサービス障害のリスクnextguardhq.com · CVSS v3.1 基本スコア
これらのメトリクスの意味は?
Attack Vector
ネットワーク — インターネット経由でリモートから悪用可能。物理・ローカルアクセス不要。
Attack Complexity
低 — 特別な条件不要。安定して悪用可能。
Privileges Required
低 — 有効なユーザーアカウントがあれば十分。
User Interaction
必要 — 被害者がファイルを開く、リンクをクリックするなどのアクションが必要。
Scope
変化あり — 攻撃が脆弱なコンポーネントを超えて他のシステムに波及可能。
Confidentiality
高 — 機密性の完全喪失。全データが読み取り可能。
Integrity
高 — 任意のデータの書き込み・変更・削除が可能。
Availability
高 — 完全なクラッシュまたはリソース枯渇。完全なサービス拒否。

影響を受けるソフトウェア

コンポーネントorganizr
ベンダーcausefx
影響範囲修正版
unspecified – 2.1.18102.1.1810

弱点分類 (CWE)

CWE-434

タイムライン

  1. 予約済み
  2. 公開日
  3. 更新日
  4. EPSS 更新日

緩和策と回避策

この脆弱性への最も効果的な対策は、Organizrをバージョン2.1.1810以降にアップデートすることです。アップデートがすぐに利用できない場合、一時的な緩和策として、サーバー側で.svgファイルのアップロードを無効にするか、ファイルの内容を厳密に検証して、悪意のあるスクリプトが含まれていないことを確認する必要があります。また、Webアプリケーションファイアウォール(WAF)を使用して、XSS攻撃を検出し、ブロックすることも有効です。WAFのルールを適切に設定し、.svgファイルに関連するリクエストを監視することで、攻撃のリスクを軽減できます。

修正方法翻訳中…

Actualice Organizr a la versión 2.1.1810 o superior. Esta versión contiene una corrección para la vulnerabilidad XSS almacenada al subir archivos .svg. La actualización evitará la ejecución de scripts maliciosos en el navegador del usuario.

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2022-1345 — XSS in Organizr ≤2.1.1810とは何ですか?

CVE-2022-1345は、Organizrのバージョン2.1.1810以前における.svgファイルアップロード時のクロスサイトスクリプティング(XSS)脆弱性です。攻撃者は悪意のあるスクリプトを実行し、セッションハイジャックや機密情報の漏洩を引き起こす可能性があります。

CVE-2022-1345 in Organizrで影響を受けますか?

Organizrのバージョンが2.1.1810以前を使用している場合、この脆弱性の影響を受けます。バージョン2.1.1810以降にアップデートすることで、脆弱性を解消できます。

CVE-2022-1345 in Organizrを修正するにはどうすればよいですか?

Organizrをバージョン2.1.1810以降にアップデートしてください。アップデートがすぐに利用できない場合は、.svgファイルのアップロードを無効にするか、ファイルの内容を厳密に検証してください。

CVE-2022-1345は積極的に悪用されていますか?

現時点では、この脆弱性を悪用した具体的な攻撃事例は確認されていませんが、XSS脆弱性は一般的に悪用されやすいと考えられます。

CVE-2022-1345のOrganizr公式アドバイザリはどこで入手できますか?

Organizrの公式アドバイザリは、GitHubリポジトリのissueトラッカーで確認できます。https://github.com/causefx/organizr/issues

あなたのプロジェクトは影響を受けていますか?

依存関係ファイルをアップロードすれば、このCVEや他のCVEがあなたに影響するか即座にわかります。

無料スキャンCVEを検索