プラットフォーム
php
コンポーネント
elabftw
修正版
5.1.6
CVE-2024-47826は、オープンソースの電子ラボノートシステムeLabFTWのバージョン5.1.5以前に存在するクロスサイトスクリプティング(XSS)脆弱性です。この脆弱性は、攻撃者が実験表示(experiments.php)、データベース表示(database.php)、検索ページ(search.php)に任意のHTMLタグを挿入することを可能にします。影響を受けるバージョンは5.1.5以前ですが、バージョン5.1.5へのアップデートでこの問題は修正されています。
このXSS脆弱性を悪用されると、攻撃者はユーザーが閲覧するページに悪意のあるHTMLコードを挿入できます。これにより、攻撃者はユーザーを悪意のあるウェブサイトにリダイレクトしたり、偽のログインフォームを表示して認証情報を盗んだり、ウェブページの内容を改ざんしたりする可能性があります。JavaScriptの実行は制限されていますが、それでもユーザーのブラウザに影響を与える可能性があります。この脆弱性は、eLabFTWを使用している研究室の機密情報や実験データへの不正アクセスにつながる可能性があります。
CVE-2024-47826は、2024年10月14日に公開されました。現時点では、この脆弱性を悪用した具体的な攻撃事例は報告されていませんが、XSS脆弱性は一般的に悪用される可能性が高いため、迅速な対応が必要です。公開されているPoCは確認されていません。CISA KEVリストへの登録状況は不明です。
Research labs and organizations utilizing eLabFTW for electronic lab notebooks are at risk. Specifically, deployments using older versions (≤ 5.1.5) are vulnerable. Shared hosting environments where multiple users share the same eLabFTW instance are also at increased risk, as a compromised user account could be leveraged to exploit the vulnerability.
• php: Examine access logs for requests to experiments.php, database.php, or search.php containing unusual HTML tags or patterns in the search query parameters.
grep -i 'alert|danger|script' /var/log/apache2/access.log | grep -i 'experiments.php|database.php|search.php'disclosure
エクスプロイト状況
EPSS
0.38% (59% パーセンタイル)
CISA SSVC
CVSS ベクトル
この脆弱性への最善の対策は、eLabFTWをバージョン5.1.5にアップデートすることです。アップデートが利用できない場合、WAF(Web Application Firewall)を導入して、悪意のあるHTMLコードの挿入を試みるリクエストをブロックすることを検討してください。また、入力検証を強化し、HTMLエンコードを適切に適用することで、XSS攻撃のリスクを軽減できます。アップデート後、eLabFTWのログを確認し、不正なアクセスやHTMLコードの挿入の試みがないか確認してください。
eLabFTW をバージョン 5.1.5 以降にアップデートしてください。このバージョンには HTML インジェクションの脆弱性に対する修正が含まれています。アップデートは、ソフトウェアの通常のアップデートチャネルを通じて実行できます。
脆弱性分析と重要アラートをメールでお届けします。
CVE-2024-47826は、eLabFTWのバージョン5.1.5以前に存在するクロスサイトスクリプティング(XSS)脆弱性で、攻撃者がHTMLタグを挿入できます。
eLabFTWのバージョン5.1.5以前を使用している場合は、影響を受けます。バージョン5.1.5にアップデートしてください。
eLabFTWをバージョン5.1.5にアップデートすることで修正できます。
現時点では、CVE-2024-47826を悪用した具体的な攻撃事例は報告されていません。
eLabFTWの公式アドバイザリは、eLabFTWのウェブサイトまたはGitHubリポジトリで確認できます。