CRITICALCVE-2022-1345CVSS 9

.svg ファイルのアップロードによる causefx/organizr における保存型 XSS

プラットフォーム

other

コンポーネント

organizr

修正版

2.1.1810

AI Confidence: highNVDEPSS 0.3%レビュー済み: 2026年5月

NVDで見る

保存

CVE-2022-1345は、Organizrのバージョン2.1.1810以前に存在するクロスサイトスクリプティング（XSS）脆弱性です。この脆弱性は、.svgファイルがアップロードされる際に悪用され、攻撃者がユーザーのブラウザ上で悪意のあるスクリプトを実行することを可能にします。影響を受けるバージョンはOrganizr 2.1.1810以前であり、バージョン2.1.1810へのアップデートによって修正されています。

影響と攻撃シナリオ

このXSS脆弱性は、攻撃者にとって非常に危険な状況を生み出します。攻撃者は、悪意のあるJavaScriptコードを.svgファイルに埋め込み、ユーザーがこのファイルをアップロードした際に実行させることができます。これにより、攻撃者はユーザーのセッションをハイジャックしたり、機密情報を盗み出したり、さらにはユーザーのブラウザを完全に制御したりすることが可能になります。攻撃の成功は、ユーザーが脆弱なバージョンのOrganizrを使用していること、そして攻撃者が巧妙に悪意のあるコードを隠蔽していることに依存します。この脆弱性の悪用は、組織全体に広がる可能性があり、深刻なデータ漏洩やシステムへの不正アクセスにつながる可能性があります。

悪用の状況

CVE-2022-1345は、2022年4月13日に公開されました。現時点では、この脆弱性を悪用した具体的な攻撃事例は確認されていませんが、XSS脆弱性は一般的に悪用されやすいと考えられます。公開されているPoCは確認されていませんが、この脆弱性の性質上、攻撃者がPoCを作成し、悪用を試みる可能性は十分にあります。CISAのKEVリストにはまだ登録されていません。

リスク対象者翻訳中…

Organizations and individuals utilizing Organizr in their workflows, particularly those who rely on the application for data management or collaboration, are at risk. This includes developers, project managers, and anyone who interacts with the GitHub repository. Shared hosting environments where multiple users have upload privileges are particularly vulnerable.

検出手順翻訳中…

• other / generic web:

curl -I 'https://your-organizr-instance/path/to/uploaded_file.svg' | grep -i 'content-security-policy'

• generic web:

 grep -r '<script>' /var/log/apache2/access.log

• generic web:

 grep -r '<script>' /var/log/nginx/error.log

攻撃タイムライン

2022-04-13Disclosure
disclosure
2022-04-13Patch
patch

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

インターネット露出高

EPSS

0.33% (56% パーセンタイル)

CVSS ベクトル

影響を受けるソフトウェア

コンポーネントorganizr

ベンダーcausefx

影響範囲修正版

unspecified – 2.1.18102.1.1810

弱点分類 (CWE)

CWE-434

タイムライン

予約済み2022-04-13
公開日2022-04-13
更新日2024-08-03
EPSS 更新日2026-04-02

緩和策と回避策

この脆弱性への最も効果的な対策は、Organizrをバージョン2.1.1810以降にアップデートすることです。アップデートがすぐに利用できない場合、一時的な緩和策として、サーバー側で.svgファイルのアップロードを無効にするか、ファイルの内容を厳密に検証して、悪意のあるスクリプトが含まれていないことを確認する必要があります。また、Webアプリケーションファイアウォール（WAF）を使用して、XSS攻撃を検出し、ブロックすることも有効です。WAFのルールを適切に設定し、.svgファイルに関連するリクエストを監視することで、攻撃のリスクを軽減できます。

修正方法翻訳中…

Actualice Organizr a la versión 2.1.1810 o superior. Esta versión contiene una corrección para la vulnerabilidad XSS almacenada al subir archivos .svg. La actualización evitará la ejecución de scripts maliciosos en el navegador del usuario.

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2022-1345 — XSS in Organizr ≤2.1.1810とは何ですか？

CVE-2022-1345は、Organizrのバージョン2.1.1810以前における.svgファイルアップロード時のクロスサイトスクリプティング（XSS）脆弱性です。攻撃者は悪意のあるスクリプトを実行し、セッションハイジャックや機密情報の漏洩を引き起こす可能性があります。

CVE-2022-1345 in Organizrで影響を受けますか？

Organizrのバージョンが2.1.1810以前を使用している場合、この脆弱性の影響を受けます。バージョン2.1.1810以降にアップデートすることで、脆弱性を解消できます。

CVE-2022-1345 in Organizrを修正するにはどうすればよいですか？

Organizrをバージョン2.1.1810以降にアップデートしてください。アップデートがすぐに利用できない場合は、.svgファイルのアップロードを無効にするか、ファイルの内容を厳密に検証してください。

CVE-2022-1345は積極的に悪用されていますか？

現時点では、この脆弱性を悪用した具体的な攻撃事例は確認されていませんが、XSS脆弱性は一般的に悪用されやすいと考えられます。

CVE-2022-1345のOrganizr公式アドバイザリはどこで入手できますか？

Organizrの公式アドバイザリは、GitHubリポジトリのissueトラッカーで確認できます。https://github.com/causefx/organizr/issues