Chunghwa Telecom TenderDocTransfer - 反射型クロスサイトスクリプティングによるRCE

このXSS脆弱性は、攻撃者がユーザーのブラウザ上で任意のJavaScriptコードを実行できるため、非常に深刻な影響をもたらします。攻撃者は、ユーザーのセッションを乗っ取ったり、機密情報を盗んだり、悪意のあるWebサイトにリダイレクトしたりすることが可能です。さらに、TenderDocTransferがNode.js機能をサポートしているため、攻撃者はこの脆弱性を悪用してOSコマンドを実行する可能性もあります。これにより、システム全体への影響が拡大する可能性があります。

Organizations and individuals utilizing TenderDocTransfer in their workflows are at risk, particularly those relying on the application for sensitive data transfer. Shared hosting environments where multiple users share the same server instance are especially vulnerable, as a successful attack could potentially impact other users on the same server.

• nodejs / server:

grep -r 'TenderDocTransfer' /var/log/nodejs/

• generic web:

curl -I <target_url> | grep -i 'X-XSS-Protection'

• generic web:

curl -I <target_url> | grep -i 'Content-Security-Policy'

1. 2024-12-16Disclosure

   disclosure

1. 予約済み2024-12-16
2. 公開日2024-12-16
3. EPSS 更新日2026-04-02

この脆弱性への対応策として、まずTenderDocTransferをバージョン0.41.157にアップデートすることを強く推奨します。アップデートが利用できない場合、一時的な緩和策として、入力値の検証とエスケープを厳格に行う必要があります。また、Webアプリケーションファイアウォール（WAF）やリバースプロキシを使用して、悪意のあるリクエストをブロックすることも有効です。Node.jsの権限を最小限に抑え、不要な機能を無効化することもセキュリティを向上させるのに役立ちます。アップデート後、アプリケーションの動作を検証し、XSS攻撃が発生していないことを確認してください。