プラットフォーム
other
コンポーネント
buyspeed
修正版
14.5.1
CVE-2020-9056は、Periscope BuySpeedのバージョン14.5において、保存型クロスサイトスクリプティング(XSS)の脆弱性が確認されています。この脆弱性を悪用されると、攻撃者は悪意のあるJavaScriptコードをウェブサイトに埋め込み、ユーザーがそのページを閲覧した際にコードが実行される可能性があります。影響を受けるバージョンは14.5ですが、バージョン15.3でこの問題は修正されています。
このXSS脆弱性は、認証された攻撃者がBuySpeedアプリケーション内に任意のJavaScriptコードを保存できることを意味します。保存されたスクリプトは、他のユーザーがウェブページを閲覧するたびに実行されます。攻撃者は、この脆弱性を利用して、ユーザーを悪意のあるウェブサイトにリダイレクトしたり、セッションハイジャックを実行したり、機密情報を盗み出す可能性があります。特に、BuySpeedが機密情報を取り扱う場合、この脆弱性の影響は甚大です。攻撃者は、ユーザーの認証情報を盗み出し、不正な操作を実行する可能性があります。
この脆弱性は、Periscope BuySpeedのバージョン14.5に限定されています。現時点では、この脆弱性を悪用した具体的な攻撃事例は報告されていませんが、XSS脆弱性は一般的に悪用される可能性が高いため、早急な対策が必要です。公開されているPoCは確認されていません。NVDおよびCISAの公開日は2020年4月10日です。
Organizations utilizing Periscope BuySpeed version 14.5, particularly those with local authenticated users accessing the application, are at risk. Shared hosting environments where multiple users share the same BuySpeed instance are also potentially vulnerable.
disclosure
エクスプロイト状況
EPSS
0.30% (54% パーセンタイル)
CVSS ベクトル
この脆弱性への最も効果的な対策は、Periscope BuySpeedをバージョン15.3以降にアップグレードすることです。アップグレードがすぐに実行できない場合は、ウェブアプリケーションファイアウォール(WAF)を使用して、XSS攻撃をブロックすることを検討してください。WAFのルールを適切に設定し、BuySpeedアプリケーションへの入力を厳密に検証する必要があります。また、入力データのサニタイズを強化し、ユーザーが提供するデータが安全であることを確認することも重要です。バージョンアップグレード後、BuySpeedのログを監視し、異常なアクティビティがないか確認してください。
BuySpeed をバージョン 15.3 以降にアップデートしてください。このバージョンには、保存型クロスサイトスクリプティング (XSS) の脆弱性に対する修正が含まれています。
脆弱性分析と重要アラートをメールでお届けします。
CVE-2020-9056は、Periscope BuySpeedバージョン14.5に存在する保存型クロスサイトスクリプティング(XSS)の脆弱性です。攻撃者は悪意のあるJavaScriptコードを埋め込み、ユーザーのブラウザで実行させることができます。
はい、バージョン14.5を使用している場合は影響を受けます。攻撃者はリダイレクト、セッションハイジャック、情報漏洩などの攻撃を実行する可能性があります。
Periscope BuySpeedをバージョン15.3以降にアップグレードしてください。アップグレードが難しい場合は、WAFを使用してXSS攻撃をブロックすることを検討してください。
現時点では、具体的な悪用事例は報告されていませんが、XSS脆弱性は一般的に悪用される可能性が高いため、早急な対策が必要です。
Periscopeの公式アドバイザリは、Periscopeのサポートサイトまたはセキュリティ情報ページで確認できます。