CRITICALCVE-2024-31988CVSS 9.7

XWiki Platform CSRF を通じたリアルタイム HTML Converter API によるリモートコード実行

Q: CVE-2024-31988 — RCE in XWiki Platformとは何ですか？

CVE-2024-31988は、XWiki Platformのバージョン13.9-rc-1から15.9において、リアルタイムエディタがインストールされている場合に、管理者権限を持つユーザーの操作によりリモートコード実行(RCE)が発生する脆弱性です。

Q: CVE-2024-31988 in XWiki Platformの影響はありますか？

XWiki Platformのバージョン13.9-rc-1から15.9を使用している場合、この脆弱性の影響を受ける可能性があります。

Q: CVE-2024-31988 in XWiki Platformを修正するにはどうすればよいですか？

XWiki Platformをバージョン14.10.19以降にアップグレードしてください。

Q: CVE-2024-31988は積極的に悪用されていますか？

現時点では公的なエクスプロイトコードは確認されていませんが、CRITICALな脆弱性であるため、早期に悪用される可能性があります。

Q: CVE-2024-31988に関するXWiki Platformの公式アドバイザリはどこで入手できますか？

XWiki Platformの公式ウェブサイトまたはセキュリティアドバイザリページで確認してください。

プラットフォーム

java

コンポーネント

xwiki-platform

修正版

13.9.1

15.0.1

15.6.1

AI Confidence: highNVDEPSS 6.9%レビュー済み: 2026年5月

NVDで見る

保存

CVE-2024-31988は、XWiki Platformにおけるリモートコード実行(RCE)の脆弱性です。この脆弱性は、リアルタイムエディタがインストールされているXWiki環境において、管理者権限を持つユーザーが特定のURLを閲覧した際に悪用される可能性があります。影響を受けるバージョンは13.9-rc-1から15.9であり、バージョン14.10.19以降で修正されています。

影響と攻撃シナリオ

この脆弱性を悪用されると、攻撃者はXWiki Platformの管理者権限を持つユーザーを騙して、任意のコードを実行させることが可能です。これにより、機密情報の窃取、データの改ざん、システムの完全な制御など、深刻な被害が発生する可能性があります。特に、XWiki Platformを重要な情報システムに組み込んでいる場合、その影響は甚大となるでしょう。攻撃者は、GroovyやPythonスクリプトを含むXWiki構文を埋め込んだURLを管理者ユーザーに閲覧させ、コードを実行させることが可能です。この攻撃手法は、他のwikiプラットフォームやコンテンツ管理システムにおいても同様の脆弱性が存在する可能性を示唆しており、注意が必要です。

悪用の状況

CVE-2024-31988は、2024年4月10日に公開されました。現時点では、公的なエクスプロイトコードは確認されていませんが、脆弱性の深刻度から、早期に悪用される可能性が懸念されます。CISAのKEVリストへの登録状況は不明ですが、CRITICALなCVSSスコアであることから、注意が必要です。攻撃者は、ソーシャルエンジニアリングの手法を用いて、管理者ユーザーを騙し、脆弱性を悪用する可能性があります。

リスク対象者翻訳中…

Organizations using XWiki Platform in environments where administrators regularly interact with external content or visit potentially untrusted URLs are at significant risk. Shared hosting environments where multiple users share an XWiki instance are particularly vulnerable, as a compromised user could potentially exploit this vulnerability to gain access to other users' data.

検出手順翻訳中…

• linux / server:

journalctl -u xwiki | grep -i "scripting macros"

• java / platform:

ps -ef | grep -i "groovy"

• generic web:

curl -I <xwiki_url>/xwiki/bin/view/Main/Admin  # Check for unusual headers or redirects

攻撃タイムライン

2024-04-10Disclosure
disclosure

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

インターネット露出高

EPSS

6.90% (91% パーセンタイル)

CISA SSVC

悪用状況poc

自動化可能no

技術的影響total

CVSS ベクトル

影響を受けるソフトウェア

コンポーネントxwiki-platform

ベンダーxwiki

影響範囲修正版

>= 13.9-rc-1, < 14.10.19 – >= 13.9-rc-1, < 14.10.1913.9.1

>= 15.0-rc-1, < 15.5.4 – >= 15.0-rc-1, < 15.5.415.0.1

>= 15.6-rc-1, < 15.9 – >= 15.6-rc-1, < 15.915.6.1

弱点分類 (CWE)

CWE-352

タイムライン

予約済み2024-04-08
公開日2024-04-10
更新日2025-02-21
EPSS 更新日2026-04-02

緩和策と回避策

この脆弱性への対応策として、まずXWiki Platformをバージョン14.10.19以降にアップグレードすることを推奨します。もしアップグレードが困難な場合は、リアルタイムエディタの機能を一時的に無効化するか、管理者権限を持つユーザーが閲覧するURLを厳重に監視するなどの対策を講じる必要があります。また、Web Application Firewall (WAF) を導入し、悪意のあるURLパターンを検知・遮断するルールを設定することも有効です。さらに、XWiki Platformのログを定期的に監視し、不審なアクティビティがないか確認することも重要です。

修正方法

XWiki Platform をバージョン 14.10.19、15.5.4、または 15.9 以降にアップデートしてください。代替案として、`RTFrontend.ConvertHTML` にパッチを手動で適用できますが、これによりリアルタイムエディタの同期に影響を与える可能性があります。修正されたバージョンへのアップデートが推奨されます。

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2024-31988 — RCE in XWiki Platformとは何ですか？