CRITICALCVE-2024-51735CVSS 9.5

Osmedeus Web Serverに保存型XSSの脆弱性が存在し、github.com/j3ssie/osmedeusにおいてRCEにつながる可能性があります

Q: CVE-2024-51735 — XSS in osmedeus Web Serverとは何ですか？

CVE-2024-51735は、osmedeus Web Serverにおける保存型クロスサイトスクリプティング（XSS）の脆弱性であり、攻撃者は悪意のあるスクリプトを実行してリモートコード実行（RCE）を達成する可能性があります。

Q: CVE-2024-51735 in osmedeus Web Serverに影響はありますか？

osmedeus Web Serverのバージョンが4.6.5以前の場合は、影響を受けます。バージョン4.6.5にアップデートすることで、この脆弱性を修正できます。

Q: CVE-2024-51735 in osmedeus Web Serverを修正するにはどうすればよいですか？

osmedeus Web Serverをバージョン4.6.5にアップデートしてください。アップデートがすぐに利用できない場合は、入力値の検証とエスケープを厳格に行うことで、リスクを軽減できます。

Q: CVE-2024-51735に関するosmedeusの公式アドバイザリはどこで入手できますか？

github.com/j3ssie/osmedeusのリリースノートを確認してください。

プラットフォーム

コンポーネント

github.com/j3ssie/osmedeus

修正版

4.6.5

AI Confidence: highNVDEPSS 0.2%レビュー済み: 2026年5月

NVDで見る

保存

CVE-2024-51735は、github.com/j3ssie/osmedeus Web Serverに存在する保存型クロスサイトスクリプティング（XSS）脆弱性です。この脆弱性を悪用されると、攻撃者はリモートコードを実行する可能性があります。影響を受けるバージョンは4.6.5以前であり、バージョン4.6.5へのアップデートでこの問題は修正されています。

影響と攻撃シナリオ

このXSS脆弱性は、攻撃者が悪意のあるスクリプトをWebサイトに注入することを可能にします。被害者は、そのスクリプトを実行することで、Cookieの窃取、セッションハイジャック、さらにはサーバー上のコード実行といった深刻な被害を受ける可能性があります。攻撃者は、この脆弱性を利用して、ユーザーの認証情報を盗み出し、機密データにアクセスしたり、Webサイトの機能を改ざんしたりすることが考えられます。この脆弱性は、特に管理者権限を持つユーザーが標的にされる可能性があり、システム全体への影響が広がる可能性があります。

悪用の状況

この脆弱性は、2024年11月6日に公開されました。現時点では、公開されているPoCは確認されていませんが、XSS脆弱性は一般的に悪用される可能性が高いため、早急な対応が必要です。CISA KEVリストへの登録状況は不明です。この脆弱性は、他のXSS脆弱性と類似した攻撃手法が適用される可能性があります。

リスク対象者翻訳中…

Organizations and individuals using the Osmedeus Web Server in production environments, particularly those who have not implemented robust input validation and output encoding practices, are at significant risk. Those relying on Osmedeus for critical web applications or handling sensitive user data should prioritize patching.

検出手順翻訳中…

• go / server:

find / -name 'osmedeus' -type d -print0 | xargs -0 grep -i 'github.com/j3ssie/osmedeus'

• generic web:

curl -I https://your-osmedeus-server/ | grep -i 'X-Powered-By: Osmedeus'

攻撃タイムライン

2024-11-06Disclosure
disclosure

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

EPSS

0.18% (40% パーセンタイル)

CISA SSVC

悪用状況none

自動化可能yes

技術的影響total

影響を受けるソフトウェア

コンポーネントgithub.com/j3ssie/osmedeus

ベンダーosv

影響範囲修正版

<= 4.6.4 – <= 4.6.44.6.5

4.6.44.6.5

弱点分類 (CWE)

CWE-79 CWE-80

タイムライン

予約済み2024-10-31
公開日2024-11-06
更新日2026-03-03
EPSS 更新日2026-04-02

緩和策と回避策

この脆弱性への主な対策は、osmedeus Web Serverをバージョン4.6.5にアップデートすることです。アップデートがすぐに利用できない場合、入力値の検証とエスケープを厳格に行うことで、XSS攻撃のリスクを軽減できます。また、Webアプリケーションファイアウォール（WAF）を導入し、XSS攻撃のパターンを検知・防御することも有効です。さらに、OSMEDEUSのログを監視し、不審なアクティビティを早期に発見することも重要です。アップデート後、Webサーバーの動作を注意深く確認し、問題がないことを確認してください。

修正方法

パッチが適用されたバージョンにアップデートするか、レポートテンプレートへの入力フィルタリングをカスタムで適用して、XSSコードの実行を回避してください。公式パッチについては開発者に連絡してください。一時的な対策として、summaryモジュールの使用を避けたり、生成されたレポートを注意深く確認してください。

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2024-51735 — XSS in osmedeus Web Serverとは何ですか？