MEDIUMCVE-2024-43788CVSS 6.4

WebpackのAutoPublicPathRuntimeModuleに、クロスサイトスクリプティング(XSS)につながるDOM Clobberingガジェットが存在する

Q: CVE-2024-43788 とは何ですか？（webpack の Cross-Site Scripting (XSS)）

DOM Clobbering は、攻撃者がグローバル DOM 変数を上書きできる攻撃技術であり、これにより任意のコードが実行される可能性があります。

Q: webpack の CVE-2024-43788 による影響を受けていますか？

Webpack のバージョン 5.94.0 には、DOM Clobbering 脆弱性を防止する修正が含まれています。

Q: webpack の CVE-2024-43788 を修正するにはどうすればよいですか？

Webpack が生成するコードを徹底的にレビューし、入力データの検証とサニタイズの対策を実装してください。

Q: CVE-2024-43788 は積極的に悪用されていますか？

CSP を構成して、Web ページで許可されるスクリプトソースを制限します。

Q: CVE-2024-43788 に関する webpack の公式アドバイザリはどこで確認できますか？

はい、Webpack コード内の DOM Clobbering 脆弱性を検出するのに役立つ静的および動的分析ツールがあります。

プラットフォーム

nodejs

コンポーネント

webpack

修正版

5.0.1

5.94.0

AI Confidence: highNVDEPSS 1.8%レビュー済み: 2026年3月

NVDで見る

保存

CVE-2024-43788は、webpackのAutoPublicPathRuntimeModuleに存在するDOM Clobberingの脆弱性です。この脆弱性を悪用すると、攻撃者が制御可能なHTML要素が存在するWebページでクロスサイトスクリプティング(XSS)攻撃を実行できる可能性があります。この問題はCanvas LMSでの実際の悪用が確認されています。webpack 5.94.0で修正されました。

影響と攻撃シナリオ

CVE-2024-43788 は、Webpack の AutoPublicPathRuntimeModule における DOM Clobbering の脆弱性です。この脆弱性を悪用すると、攻撃者は攻撃者が制御する HTML 要素を介して、グローバル DOM (Document Object Model) プロパティを上書きすることで、Web ページに悪意のある JavaScript コードを注入できます。Webpack が適切な検証なしにグローバル DOM 変数を使用するコードを生成する場合に、この脆弱性は発生します。攻撃者は、<img> タグの name 属性などの属性を操作してこれらの変数を上書きし、被害者のブラウザで任意のコードが実行される可能性があります。主な影響は、Cross-Site Scripting (XSS) 攻撃の可能性であり、ユーザーのセキュリティと機密性が損なわれる可能性があります。

悪用の状況

この脆弱性は Canvas LMS で発見され、実証されました。攻撃者は、<img> タグの name 属性などの HTML 要素属性を介して JavaScript コードを注入できます。Webpack はこのコードを処理すると、DOM Clobbering に脆弱なモジュールを生成します。攻撃者はその後、このモジュールを操作してグローバル DOM 変数を上書きし、悪意のあるコードの実行を可能にします。このシナリオは、Webpack を使用する Web アプリケーションで、特にユーザーが提供するデータを処理する場合、入力データを検証およびサニタイズすることの重要性を強調しています。この脆弱性は、Webpack が自動パブリックパスと DOM とのやり取りを処理する方法のために悪用されます。

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

インターネット露出高

NextGuard94% まだ脆弱

EPSS

1.77% (83% パーセンタイル)

CISA SSVC

悪用状況poc

自動化可能no

技術的影響partial

影響を受けるソフトウェア

コンポーネントwebpack

ベンダーosv

影響範囲修正版

>= 5.0.0-alpha.0, < 5.94.0 – >= 5.0.0-alpha.0, < 5.94.05.0.1

5.0.0-alpha.05.94.0

弱点分類 (CWE)

CWE-79

タイムライン

予約済み2024-08-16
公開日2024-08-27
更新日2026-02-04
EPSS 更新日2026-04-02

公開後-4日でパッチ適用

緩和策と回避策

CVE-2024-43788 の主な軽減策は、Webpack をバージョン 5.94.0 以降にアップグレードすることです。このバージョンには、DOM プロパティの意図しない上書きを防ぐ修正が含まれています。さらに、Webpack が生成するコードを徹底的にレビューして、DOM Clobbering 攻撃の潜在的な侵入点を特定することをお勧めします。信頼できないソースからの入力データの厳格な検証とサニタイズを実装することが重要です。Content Security Policy (CSP) を使用して、Web ページで許可されるスクリプトソースを制限することで、XSS 攻撃の影響を軽減できます。最後に、Webpack の依存関係を最新の状態に保つことは、基本的なセキュリティプラクティスです。

修正方法翻訳中…

Actualice webpack a la versión 5.94.0 o superior. Esta versión corrige la vulnerabilidad de Cross-Site Scripting (XSS) causada por un gadget DOM Clobbering en el AutoPublicPathRuntimeModule. La actualización evitará la ejecución de código malicioso inyectado a través de elementos HTML controlados por el atacante.

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2024-43788 とは何ですか？（webpack の Cross-Site Scripting (XSS)）