プラットフォーム
other
コンポーネント
polarion
修正版
19.2.1
CVE-2019-13936は、Siemens AG PolarionのWebクライアントにおけるクロスサイトスクリプティング(XSS)脆弱性です。この脆弱性は、Webページ生成時の入力の不適切な無効化が原因で発生し、攻撃者が悪意のあるスクリプトを実行する可能性があります。影響を受けるバージョンはPolarionの19.2以前です。Siemensはバージョン19.2で修正を提供しています。
このXSS脆弱性を悪用されると、攻撃者はユーザーがPolarion Webクライアントにアクセスした際に、悪意のあるJavaScriptコードをWebページに挿入できます。これにより、攻撃者はユーザーのセッションCookieを盗み、ユーザーになりすまして機密情報にアクセスしたり、不正な操作を実行したりする可能性があります。特に、Polarionを重要なプロジェクト管理に使用している組織では、この脆弱性の影響は大きくなる可能性があります。攻撃者は、ユーザーを悪意のあるWebサイトにリダイレクトしたり、フィッシング攻撃を実行したりすることも可能です。
CVE-2019-13936は、2019年11月27日に公開されました。現時点では、この脆弱性を悪用する公開されているPoCは確認されていませんが、XSS脆弱性は一般的に悪用されやすいと考えられます。CISA KEVカタログへの登録状況は不明です。この脆弱性は、Polarionを使用している組織にとって、潜在的なセキュリティリスクとなります。
Organizations utilizing Siemens Polarion for project lifecycle management, particularly those running versions prior to 19.2, are at risk. This includes teams relying on Polarion for requirements management, test management, and agile project tracking. Environments with shared user accounts or limited access controls may be more vulnerable.
disclosure
エクスプロイト状況
EPSS
0.34% (57% パーセンタイル)
CVSS ベクトル
この脆弱性への最も効果的な対策は、Polarionをバージョン19.2以降にアップグレードすることです。アップグレードがすぐに実行できない場合は、Webアプリケーションファイアウォール(WAF)を使用して、XSS攻撃をブロックすることを検討してください。WAFのルールを適切に構成し、PolarionのWebクライアントへのアクセスを監視する必要があります。また、入力検証を強化し、出力エンコードを適切に実装することで、XSS攻撃のリスクを軽減できます。
Siemens AG Polarion をバージョン 19.2 以降にアップデートしてください。 このアップデートは、攻撃者が悪用できる可能性のある永続的な Cross-Site Scripting (XSS) 脆弱性を修正します。
脆弱性分析と重要アラートをメールでお届けします。
CVE-2019-13936は、Siemens AG PolarionのWebクライアントにおけるクロスサイトスクリプティング(XSS)脆弱性です。Webページ生成時の入力の不適切な無効化が原因で発生し、攻撃者が悪意のあるスクリプトを実行できる可能性があります。
Polarionのバージョン19.2以前を使用している場合は、影響を受けます。バージョン19.2以降にアップグレードすることで、この脆弱性を修正できます。
Polarionをバージョン19.2以降にアップグレードしてください。アップグレードがすぐに実行できない場合は、WAFを使用してXSS攻撃をブロックすることを検討してください。
現時点では、この脆弱性を悪用する公開されているPoCは確認されていませんが、XSS脆弱性は一般的に悪用されやすいと考えられます。
Siemensのセキュリティアドバイザリページで確認できます。具体的なURLは、Siemensの公式ウェブサイトでご確認ください。