CRITICALCVE-2024-42467CVSS 10

openHABのCometVisu BackendにSSRF/XSSの影響

Q: CVE-2024-42467 in openHAB CometVisuの影響はありますか？

はい、openHAB CometVisu 4.2.1より前のバージョンを使用している場合、この脆弱性により内部サーバーへの不正アクセスやXSS攻撃を受ける可能性があります。

Q: CVE-2024-42467 in openHAB CometVisuを修正するにはどうすればよいですか？

openHABをバージョン4.2.1以降にアップデートしてください。アップデートが困難な場合は、ファイアウォールでプロキシエンドポイントへの外部アクセスを遮断するか、WAFを使用してください。

Q: CVE-2024-42467は積極的に悪用されていますか？

現時点では、公開されているPoCは確認されていませんが、SSRF脆弱性の性質上、悪用が懸念されます。

Q: CVE-2024-42467に関するopenHABの公式アドバイザリはどこで入手できますか？

openHABの公式アドバイザリは、[https://www.openhab.org/blog/security-advisory-cometvisu-ssrf-xss.html](https://www.openhab.org/blog/security-advisory-cometvisu-ssrf-xss.html)で確認できます。

プラットフォーム

java

コンポーネント

org.openhab.ui.bundles:org.openhab.ui.cometvisu

修正版

4.2.2

4.2.1

AI Confidence: highNVDEPSS 1.8%レビュー済み: 2026年5月

NVDで見る

保存

CVE-2024-42467は、openHAB CometVisuアドオンのプロキシエンドポイントにおけるServer-Side Request Forgery (SSRF) 脆弱性です。認証なしでこのプロキシ機能にアクセスできるため、攻撃者は内部ネットワーク上のサーバーに対してHTTP GETリクエストを送信できます。また、この脆弱性はCross-Site Scripting (XSS) 攻撃にも悪用される可能性があります。影響を受けるバージョンは、4.2.1より前のバージョンです。バージョン4.2.1以降に修正が提供されています。

影響と攻撃シナリオ

このSSRF脆弱性を悪用されると、攻撃者はopenHABが公開されているネットワーク内の内部サーバーに不正なアクセスを試みることができます。例えば、データベースサーバー、管理コンソール、または機密情報を含む他のサービスへのアクセスを試みる可能性があります。さらに、XSS攻撃に悪用されると、攻撃者は悪意のあるスクリプトをopenHABのWebインターフェースに挿入し、ユーザーのセッションを乗っ取ったり、機密情報を盗み出したりする可能性があります。この脆弱性は、openHABがインターネットに直接公開されている場合、特に深刻な影響を及ぼします。攻撃者は、内部ネットワークへの侵入経路としてopenHABを利用する可能性があります。

悪用の状況

この脆弱性は、2024年8月9日に公開されました。現時点では、公開されているProof-of-Concept (PoC) は確認されていませんが、SSRF脆弱性の性質上、攻撃者による悪用が懸念されます。CISA KEVカタログへの登録状況は不明です。NVDデータベースにも情報が登録されています。

リスク対象者翻訳中…

Organizations deploying openHAB in non-private networks, particularly those with sensitive internal services, are at significant risk. Environments with legacy openHAB configurations or those relying on shared hosting services are also particularly vulnerable, as they may have limited control over network access and security settings.

検出手順翻訳中…

• linux / server:

journalctl -u openhab -g "cometvisu proxy endpoint"

• generic web:

curl -I http://<openhab_ip>/cometvisu/proxy?url=<internal_resource>

Check the response headers for unexpected redirects or server responses indicating access to internal resources. • generic web: Grep access logs for requests to the /cometvisu/proxy endpoint with unusual or internal URLs.

攻撃タイムライン

2024-08-09Disclosure
disclosure

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

インターネット露出高

EPSS

1.77% (83% パーセンタイル)

CISA SSVC

悪用状況none

自動化可能no

技術的影響total

CVSS ベクトル

影響を受けるソフトウェア

コンポーネントorg.openhab.ui.bundles:org.openhab.ui.cometvisu

ベンダーosv

影響範囲修正版

< 4.2.1 – < 4.2.14.2.2

—4.2.1

弱点分類 (CWE)

CWE-918

タイムライン

予約済み2024-08-02
公開日2024-08-09
更新日2024-08-12
EPSS 更新日2026-04-02

緩和策と回避策

この脆弱性への最善の対応は、openHABをバージョン4.2.1以降にアップデートすることです。アップデートがすぐに利用できない場合は、openHABが公開されていないネットワークに配置するか、ファイアウォールでプロキシエンドポイントへの外部からのアクセスを遮断することを検討してください。Web Application Firewall (WAF) を使用して、悪意のあるリクエストをフィルタリングすることも有効です。また、openHABのログを監視し、異常なHTTPリクエストを検出するためのルールを実装することも重要です。アップデート後、openHABのコンポーネントが正常に動作していることを確認してください。

修正方法

openHABのCometVisuアドオンをバージョン4.2.1以降にアップデートしてください。このアップデートは、以前のバージョンに存在するSSRFおよびXSSの脆弱性を修正します。openHABの管理インターフェースからアドオンをアップデートできます。

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2024-42467 — SSRF in openHAB CometVisuとは何ですか？

CVE-2024-42467は、openHAB CometVisuアドオンのプロキシエンドポイントにおけるServer-Side Request Forgery (SSRF) 脆弱性です。認証なしで内部サーバーへのリクエストを誘導できる可能性があります。

CVE-2024-42467 in openHAB CometVisuの影響はありますか？