CVE-2023-6013は、H2Oにおける保存型クロスサイトスクリプティング(XSS)脆弱性です。この脆弱性を悪用されると、攻撃者はLocal File Include(LFI)攻撃を実行し、機密情報を窃取したり、システムを制御したりする可能性があります。影響を受けるバージョンはH2Oの最新版までです。2023年11月16日に公開され、最新バージョンへのアップデートで修正されています。
この脆弱性は、攻撃者が悪意のあるスクリプトをH2Oのシステムに保存し、他のユーザーがそのページにアクセスした際にスクリプトが実行されることを可能にします。これにより、攻撃者はユーザーのセッションを乗っ取ったり、機密情報を窃取したり、悪意のあるリダイレクトを実行したりする可能性があります。さらに、このXSS脆弱性はLocal File Include(LFI)攻撃の足がかりとなり、サーバー上の機密ファイルへのアクセスを可能にする可能性があります。攻撃者は、この脆弱性を利用して、H2Oのシステムを完全に制御する可能性があります。
CVE-2023-6013は、CISA KEVカタログにはまだ登録されていません。公開されたPoCは確認されていませんが、XSS脆弱性は一般的に悪用される可能性が高いため、注意が必要です。NVDは2023年11月16日に公開されています。この脆弱性は、H2Oを広く利用している組織にとって、重大な脅威となります。
Organizations utilizing H2O for machine learning and data science applications are at risk, particularly those with legacy configurations or those who haven't implemented robust input validation and output encoding practices. Shared hosting environments using H2O are also at increased risk due to the potential for cross-tenant exploitation.
disclosure
エクスプロイト状況
EPSS
0.24% (47% パーセンタイル)
CVSS ベクトル
この脆弱性への最も効果的な対策は、H2Oを最新バージョンにアップデートすることです。アップデートがすぐに利用できない場合は、入力データの検証とサニタイズを強化し、XSS攻撃を防ぐためのWebアプリケーションファイアウォール(WAF)を導入することを検討してください。また、H2Oのログを監視し、不審なアクティビティを検出することも重要です。WAFルールは、XSSペイロードをブロックするように設定し、入力検証は、すべてのユーザー入力を厳密に検証するように設定する必要があります。
H2O を利用可能な最新バージョンにアップデートしてください。これにより、ローカルファイルインクルージョンにつながる可能性のある保存された XSS 脆弱性が修正されるはずです。詳細については、ベンダーのセキュリティアナウンスを参照してください。
脆弱性分析と重要アラートをメールでお届けします。
CVE-2023-6013は、H2Oにおいて、攻撃者が悪意のあるスクリプトを保存し、他のユーザーがアクセスした際に実行される保存型XSS脆弱性です。
H2Oの最新版までを使用している場合は影響を受けます。最新バージョンにアップデートすることで脆弱性を修正できます。
H2Oを最新バージョンにアップデートしてください。アップデートがすぐに利用できない場合は、入力データの検証とサニタイズを強化し、WAFを導入することを検討してください。
現時点では、積極的に悪用されているという報告はありませんが、XSS脆弱性は一般的に悪用される可能性が高いため、注意が必要です。
H2Oの公式アドバイザリは、H2Oのウェブサイトで確認できます。