CRITICALCVE-2024-45856CVSS 9

MindsDB クロスサイトスクリプティング (Cross-site Scripting) の脆弱性

プラットフォーム

python

コンポーネント

mindsdb

修正版

24.9.3

AI Confidence: highNVDEPSS 0.2%レビュー済み: 2026年5月

NVDで見る

保存

CVE-2024-45856は、MindsDBプラットフォームにおけるクロスサイトスクリプティング(XSS)の脆弱性です。攻撃者は、ML Engine、データベース、プロジェクト、またはデータセットを列挙する際に、悪意のあるJavaScriptコードを注入し、実行させることが可能です。この脆弱性は、MindsDBプラットフォームのバージョン24.9.2.1以前に影響を与えます。最新バージョンへのアップデートにより、この脆弱性は修正されています。

影響と攻撃シナリオ

このXSS脆弱性を悪用されると、攻撃者は認証されたユーザーになりすまし、悪意のあるスクリプトをWeb UI上で実行できます。これにより、ユーザーのセッションCookieの窃取、機密情報の盗難、またはWebサイトの改ざんが可能になります。攻撃者は、ユーザーが脆弱な機能にアクセスした際に、悪意のあるJavaScriptコードを注入し、実行させることができます。この脆弱性は、MindsDBプラットフォームのセキュリティを著しく損なう可能性があります。特に、機密データを取り扱う環境では、深刻な被害が発生する可能性があります。

悪用の状況

この脆弱性は、2024年9月12日に公開されました。現時点では、公的なエクスプロイトコードは確認されていませんが、XSS脆弱性は一般的に悪用される可能性が高いため、注意が必要です。CISA KEVリストへの登録状況は不明です。NVDデータベースも参照し、最新の情報を確認してください。

リスク対象者翻訳中…

Organizations utilizing MindsDB for machine learning model management and deployment are at risk. This includes data scientists, machine learning engineers, and DevOps teams who interact with the MindsDB web UI. Specifically, those relying on older versions of MindsDB (≤24.9.2.1) are highly vulnerable.

検出手順翻訳中…

• python / server:

import requests
from bs4 import BeautifulSoup

url = 'http://your-mindsdb-instance/ui/ml-engines'
response = requests.get(url)

if response.status_code == 200:
    soup = BeautifulSoup(response.content, 'html.parser')
    # Look for suspicious script tags or event handlers
    for script in soup.find_all('script'):
        if script.string and 'eval(' in script.string:
            print(f'Potential XSS detected: {script.string}')

• generic web:

curl -I http://your-mindsdb-instance/ui/ml-engines | grep -i 'content-security-policy'

• generic web:

curl -I http://your-mindsdb-instance/ui/ml-engines | grep -i 'x-xss-protection'

攻撃タイムライン

2024-09-12Disclosure
disclosure

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

インターネット露出高

EPSS

0.16% (37% パーセンタイル)

CISA SSVC

悪用状況none

自動化可能no

技術的影響total

CVSS ベクトル

影響を受けるソフトウェア

コンポーネントmindsdb

ベンダーosv

影響範囲修正版

* – *—

24.9.2.124.9.3

弱点分類 (CWE)

CWE-79

タイムライン

予約済み2024-09-10
公開日2024-09-12
EPSS 更新日2026-04-02

未パッチ — 公開から619日経過

緩和策と回避策

この脆弱性への対応策として、まずMindsDBプラットフォームを最新バージョン（24.9.2.2以降）にアップデートすることを推奨します。アップデートが困難な場合は、Webアプリケーションファイアウォール(WAF)を導入し、XSS攻撃を検知・防御するルールを設定してください。また、入力値の検証を強化し、悪意のあるスクリプトが注入されるのを防ぐための対策を講じることも有効です。アップデート後、MindsDBプラットフォームのログを監視し、異常なアクティビティがないか確認してください。

修正方法

MindsDB を利用可能な最新バージョンにアップデートしてください。これにより XSS の脆弱性が修正されます。詳細については、リリースノートを参照してください。

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2024-45856 — XSS in MindsDB プラットフォームとは何ですか？

CVE-2024-45856は、MindsDBプラットフォームのバージョン24.9.2.1以前に存在するクロスサイトスクリプティング(XSS)の脆弱性です。攻撃者は、ML Engine、データベース、プロジェクト、データセットの列挙時に悪意のあるJavaScriptコードを実行させることが可能です。

CVE-2024-45856 in MindsDB プラットフォームに影響を受けますか？

MindsDBプラットフォームのバージョンが24.9.2.1以前の場合は、影響を受けます。最新バージョンへのアップデートを推奨します。

CVE-2024-45856 in MindsDB プラットフォームを修正するにはどうすればよいですか？

MindsDBプラットフォームを最新バージョン（24.9.2.2以降）にアップデートしてください。アップデートが困難な場合は、WAFの導入や入力値の検証強化などの対策を講じてください。

CVE-2024-45856は積極的に悪用されていますか？

現時点では公的なエクスプロイトコードは確認されていませんが、XSS脆弱性は一般的に悪用される可能性が高いため、注意が必要です。

CVE-2024-45856に関するMindsDBの公式アドバイザリはどこで入手できますか？

MindsDBの公式アドバイザリは、MindsDBのセキュリティ情報ページで確認できます。https://mindsdb.com/security