LOWCVE-2019-13934CVSS 3.5

Webページ生成時の入力の不適切な無効化 ('Cross-site Scripting') の脆弱性により、Siemens AG Polarionのwebclientにおいて、攻撃者がリフレクト型XSS脆弱性を悪用できる可能性があります。

Q: CVE-2019-13934 — XSS in Siemens Polarionとは何ですか？

CVE-2019-13934は、Siemens PolarionのWebクライアントにおけるクロスサイトスクリプティング（XSS）脆弱性です。攻撃者はこの脆弱性を悪用して、悪意のあるスクリプトを実行し、ユーザーのセッションを乗っ取ったり、機密情報を盗み取ったりする可能性があります。

Q: CVE-2019-13934 in Siemens Polarionの影響はありますか？

Polarionのバージョン19.2以前を使用している場合は影響を受けます。攻撃者は悪意のあるスクリプトを実行し、ユーザーのブラウザ上で任意のコードを実行できる可能性があります。

Q: CVE-2019-13934 in Siemens Polarionを修正するにはどうすればよいですか？

Polarionをバージョン19.2以降にアップデートしてください。アップデートがすぐに利用できない場合は、WAFを使用してXSS攻撃をブロックすることを検討してください。

Q: CVE-2019-13934に関するSiemensの公式アドバイザリはどこで入手できますか？

Siemensのセキュリティアドバイザリページで確認できます。具体的なURLは、Siemensの公式ウェブサイトで検索してください。

プラットフォーム

other

コンポーネント

polarion

修正版

19.2.1

AI Confidence: highNVDEPSS 0.3%レビュー済み: 2026年5月

NVDで見る

保存

CVE-2019-13934は、Siemens AG PolarionのWebクライアントにおけるクロスサイトスクリプティング（XSS）脆弱性です。この脆弱性は、Webページの生成時に入力が適切に無効化されていないことが原因で発生します。攻撃者はこの脆弱性を悪用して、悪意のあるスクリプトを実行し、ユーザーのセッションを乗っ取ったり、機密情報を盗み取ったりする可能性があります。Polarionのバージョン19.2以前が影響を受けますが、バージョン19.2へのアップデートで修正されています。

影響と攻撃シナリオ

このXSS脆弱性を悪用されると、攻撃者はユーザーがPolarion Webクライアントにアクセスした際に、悪意のあるJavaScriptコードをWebページに挿入できます。これにより、攻撃者はユーザーのブラウザ上で任意のコードを実行し、セッションCookieを盗み取ったり、ユーザーになりすまして機密情報にアクセスしたりすることが可能になります。さらに、攻撃者はユーザーを悪意のあるWebサイトにリダイレクトしたり、フィッシング詐欺を実行したりすることもできます。この脆弱性は、Polarionを使用している組織にとって、データ漏洩やシステムへの不正アクセスといった重大なリスクをもたらします。

悪用の状況

このCVEは2019年11月27日に公開されました。現時点では、この脆弱性を悪用した具体的な攻撃事例は報告されていませんが、XSS脆弱性は一般的に悪用される可能性が高いため、早急な対策が必要です。CISA KEVカタログへの登録状況は不明です。公開されているPoCは確認されていません。

リスク対象者翻訳中…

Organizations utilizing Siemens Polarion for project lifecycle management, particularly those running versions prior to 19.2, are at risk. This includes teams relying on Polarion for requirements management, test management, and release management. Shared hosting environments or deployments with limited security controls may be particularly vulnerable.

検出手順翻訳中…

• other / web:

curl -I 'https://<polarion_server>/<vulnerable_endpoint>?param=<malicious_script>' | grep 'Content-Security-Policy'

• other / web:

curl 'https://<polarion_server>/<vulnerable_endpoint>?param=<malicious_script>' > /tmp/output.html; grep -i '<script>' /tmp/output.html

攻撃タイムライン

2019-11-27Disclosure
disclosure

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

インターネット露出高

EPSS

0.34% (57% パーセンタイル)

CVSS ベクトル

影響を受けるソフトウェア

コンポーネントpolarion

ベンダーSiemens AG

影響範囲修正版

All versions < 19.2 – All versions < 19.219.2.1

弱点分類 (CWE)

CWE-79

タイムライン

予約済み2019-07-18
公開日2019-11-27
更新日2024-09-17
EPSS 更新日2026-04-02

緩和策と回避策

この脆弱性への最も効果的な対策は、Polarionをバージョン19.2以降にアップデートすることです。アップデートがすぐに利用できない場合は、Webアプリケーションファイアウォール（WAF）を使用して、XSS攻撃をブロックすることを検討してください。WAFのルールを調整して、悪意のあるスクリプトの挿入を検出し、ブロックするように設定します。また、入力検証を強化し、ユーザーからの入力を適切にサニタイズすることで、XSS攻撃のリスクを軽減できます。アップデート後、Polarionのバージョンを確認し、脆弱性が修正されていることを確認してください。

修正方法

Siemens Polarionをバージョン19.2以降にアップデートしてください。このアップデートは、webclientにおけるリフレクト型XSS脆弱性を修正します。

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2019-13934 — XSS in Siemens Polarionとは何ですか？