MEDIUMCVE-2024-58343CVSS 4.3

Vision Helpdesk 5.7.0 より前のバージョン (5.6.10 で修正) では、攻撃者が vis_client_id に送信される改ざんされたシリアライズされた Cookie データを通じてユーザープロファイルを読み取ることができます。

Q: CVE-2024-58343 は積極的に悪用されていますか？

すぐにアップデートできない場合は、'vis_client_id'クッキーへのアクセスを制限したり、ネットワークトラフィックを監視したりするなど、追加のセキュリティ対策を実装することを検討してください。

プラットフォーム

php

コンポーネント

vision-helpdesk

修正版

5.6.10

AI Confidence: highNVDEPSS 0.0%レビュー済み: 2026年5月

NVDで見る

保存

あなたの言語に翻訳中…

CVE-2024-58343 is a vulnerability affecting Vision Helpdesk versions from 0.0.0 through 5.6.10. It allows attackers to read user profiles by exploiting insecure deserialization of the visclientid cookie. Successful exploitation could lead to unauthorized access to sensitive user information. A patch is available in version 5.6.10.

影響と攻撃シナリオ

Vision HelpdeskのCVE-2024-58343脆弱性は、5.7.0より前のバージョン（5.6.10で修正済み）に影響を与え、攻撃者が'visclientid'クッキー内のシリアル化されたクッキーデータを操作することで、ユーザープロファイルを読み取ることができるようになります。攻撃者は、このクッキーを改ざんして、システム内の他のユーザーに関する機密情報を取得する可能性があります。例えば、氏名、メールアドレス、役割、およびプロファイルに保存されているその他の詳細です。この脆弱性のCVSSスコアは4.3で、中程度のリスクを示しています。この情報の漏洩は、ユーザーのプライバシーを侵害し、さらなる標的型攻撃を容易にする可能性があります。

悪用の状況

この脆弱性の悪用には、攻撃者が'visclientid'クッキーを操作できる必要があります。これは、システムがクロスサイトスクリプティング（XSS）攻撃に対して脆弱な場合、XSS攻撃によって実現できる可能性があります。または、HTTPSが使用されていない場合、ネットワークトラフィックを傍受することによって実現できる可能性があります。攻撃者がクッキーを制御すると、シリアル化されたデータを変更して、目的のユーザープロファイル情報にアクセスできます。悪用のしやすさは、システムのセキュリティ構成と、クッキーの操作を可能にする他の脆弱性の存在によって異なります。

リスク対象者翻訳中…

Organizations utilizing Vision Helpdesk for customer support and internal help desk functions are at risk, particularly those storing sensitive user data within the application. Shared hosting environments where multiple users share the same Vision Helpdesk instance are also at increased risk, as a compromise of one user's profile could potentially expose data for other users.

検出手順翻訳中…

• php / server:

grep -r 'vis_client_id' /var/www/html/

• generic web:

curl -I <your_vision_helpdesk_url> | grep Cookie: vis_client_id

攻撃タイムライン

2026-04-16Disclosure
disclosure

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

インターネット露出高

レポート1 脅威レポート

EPSS

0.03% (8% パーセンタイル)

CISA SSVC

悪用状況poc

自動化可能no

技術的影響

影響を受けるソフトウェア

コンポーネントvision-helpdesk

ベンダーVision

影響範囲修正版

0.0.0 – 5.6.95.6.10

弱点分類 (CWE)

CWE-425

タイムライン

予約済み2026-04-16
公開日2026-04-16
更新日2026-04-17
EPSS 更新日2026-04-24

緩和策と回避策

CVE-2024-58343を軽減するための主な対策は、Vision Helpdeskをバージョン5.7.0以降、または少なくともバージョン5.6.10にアップグレードすることです。このアップデートは、'visclientid'クッキー内のシリアル化されたデータを適切に検証することで脆弱性を修正し、ユーザープロファイルの不正な読み取りを防ぎます。さらに、クッキーのセキュリティポリシーを確認し、追加の対策を実装することを検討してください。例えば、クッキーの有効期限を制限したり、システム全体のユーザー入力を検証したりすることです。ユーザーデータを保護するために、このアップデートをできるだけ早く適用することが重要です。

修正方法翻訳中…

Actualice Vision Helpdesk a la versión 5.6.10 o superior para mitigar la vulnerabilidad. Esta actualización corrige la forma en que se manejan los datos serializados de las cookies, previniendo la lectura no autorizada de perfiles de usuario.

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2024-58343 とは何ですか？（Vision Helpdesk）

クッキーのシリアル化は、ユーザーデータのような複雑なオブジェクトを、クッキーに保存できるテキスト文字列に変換するプロセスです。この場合、脆弱性は、このシリアル化されたデータの検証不足にあります。

Vision Helpdesk の CVE-2024-58343 による影響を受けていますか？

Vision Helpdeskのバージョンが5.7.0より前の場合は、脆弱です。システム構成でインストールされているバージョンを確認してください。

Vision Helpdesk の CVE-2024-58343 を修正するにはどうすればよいですか？

すぐに最新バージョンにアップデートしてください。システムログを調べて不審な活動がないか確認し、セキュリティ監査を検討してください。

CVE-2024-58343 は積極的に悪用されていますか？

すぐにアップデートできない場合は、'visclientid'クッキーへのアクセスを制限したり、ネットワークトラフィックを監視したりするなど、追加のセキュリティ対策を実装することを検討してください。

CVE-2024-58343 に関する Vision Helpdesk の公式アドバイザリはどこで確認できますか？

CVSS（Common Vulnerability Scoring System）は、セキュリティ脆弱性の深刻度を評価するための標準です。スコア4.3は、中程度のリスクを示しています。