プラットフォーム
other
コンポーネント
lynx-customer-service-portal
修正版
3.5.3
CVE-2020-9055は、Versiant LYNX Customer Service Portalのバージョン3.5.2に存在する保存型クロスサイトスクリプティング(XSS)脆弱性です。この脆弱性を悪用されると、認証された攻撃者が悪意のあるJavaScriptを挿入し、それがサーバーに保存され、他のユーザーに表示される可能性があります。影響を受けるバージョンは3.5.2で、バージョン3.5.3へのアップデートで修正されています。
このXSS脆弱性は、攻撃者が悪意のあるスクリプトをウェブサイトに埋め込むことを可能にし、ユーザーがそのページを閲覧した際にスクリプトが実行されます。攻撃者は、このスクリプトを使用して、ユーザーを悪意のあるウェブサイトにリダイレクトしたり、セッションCookieを盗み出してユーザーの認証情報を乗っ取ったり、機密情報を盗み出す可能性があります。特に、顧客サービスポータルを使用している組織は、顧客の個人情報や機密データが漏洩するリスクにさらされます。この脆弱性は、類似のXSS攻撃と同様に、ユーザーの信頼を損ない、組織の評判を傷つける可能性があります。
CVE-2020-9055は、2020年3月30日に公開されました。現時点では、この脆弱性を悪用した公開されているPoCは確認されていませんが、XSS脆弱性は一般的に悪用されやすいと考えられます。CISAのKEVリストには登録されていません。NVDデータベースに情報が登録されています。
Organizations utilizing the Versiant LYNX Customer Service Portal version 3.5.2, particularly those with local authenticated users accessing sensitive data through the portal, are at risk. Environments with weak input validation or lacking WAF protection are especially vulnerable.
disclosure
エクスプロイト状況
EPSS
0.31% (54% パーセンタイル)
CVSS ベクトル
この脆弱性への主な対策は、LYNX Customer Service Portalをバージョン3.5.3にアップデートすることです。アップデートがすぐに利用できない場合、入力値の検証とエスケープを強化することで、XSS攻撃のリスクを軽減できます。ウェブアプリケーションファイアウォール(WAF)を導入し、XSS攻撃のパターンを検出・ブロックするルールを設定することも有効です。また、ユーザーに不審なリンクをクリックしないように注意喚起することも重要です。アップデート後、ウェブサイトの動作をテストし、XSS攻撃が発生していないことを確認してください。
3.5.2 よりも後のバージョンにアップデートし、XSS 脆弱性を修正してください。修正されたバージョンまたはセキュリティパッチについては、ベンダー (Versiant) にお問い合わせください。
脆弱性分析と重要アラートをメールでお届けします。
CVE-2020-9055は、LYNX Customer Service Portalのバージョン3.5.2に存在する保存型クロスサイトスクリプティング(XSS)脆弱性です。攻撃者は悪意のあるJavaScriptを挿入し、ユーザーに表示させることが可能です。
はい、バージョン3.5.2を使用している場合は影響があります。サイトリダイレクト、セッションCookieの乗っ取り、情報漏洩などのリスクがあります。
LYNX Customer Service Portalをバージョン3.5.3にアップデートしてください。アップデートがすぐに利用できない場合は、入力値の検証とエスケープを強化してください。
現時点では、公開されているPoCは確認されていませんが、XSS脆弱性は一般的に悪用されやすいと考えられます。
Versiantのセキュリティアドバイザリを参照してください。詳細はVersiantのウェブサイトで確認できます。