VuFind Libraries Face Critical Vulnerabilities – CVE-2024-25737 & CVE-2024-25738
2024/05/26 SecurityOnline — オープンソースの図書館検索プラットフォームとして人気の VuFind は、図書館と利用者の双方を深刻なリスクにさらす可能性のある、2つの重大な脆弱性に対処した緊急のセキュリティ・アドバイザリを発表した。これらの脆弱性は CVE-2024-25737/CVE-2024-25738 (CVSS:9.1) が悪用された場合には、甚大な損害を被る可能性があることを示している。
脆弱性の詳細
- CVE-2024-25737:SSRF (Server-Side Request Forgery) の脆弱性:この脆弱性が攻撃者に悪用されると、VuFind サーバを騙して不正なソースからのコンテンツ取得が可能となり、データ漏洩/Web サイトの改ざん/XSS (cross-site scripting) 攻撃などにつながる恐れが生じる。
- CVE-2024-25738:リモート・コード実行 (RCE:Remote Code Execution) につながる SSRF の脆弱性:この脆弱性はバージョン 9.1 に存在する。悪用に成功したリモートの攻撃者は、ローカルの設定ファイルを上書きし、管理者パネルへのアクセスや、サーバ上で任意のコードを実行する可能性を手にする。
この脆弱性の発見/報告者は、セキュリティ研究者の Rob (GitHub:@x65534) だ。
脆弱なバージョン
これらの脆弱性は、VuFind のバージョン 2.0〜9.1 に存在する。図書館/教育機関を含む、VuFind を使用している全ての組織は、システムとデータを保護するために直ちに対策を講じる必要がある。
リスクを軽減するには
すでに VuFind 9.1.1 で、脆弱性 CVE-2024-25737/CVE-2024-25738 に対するパッチが適用されている。また、アップグレードの手順は、VuFind の Web サイトに掲載されている。
直ちにアップグレードが不可能なユーザーのために、VuFind チームが提供しているのは、最近のリリースに対するバックポート・パッチや、古いバージョンに対する手動でのコード修正といった、別の緩和策である。ただし、これらのオプションは技術的な専門知識を必要とする可能性があるため、実施には注意が必要となる。
VuFind という OSS プロジェクトは、初めて聞く名前であり、いったい何者なんだろうと調べてみたら “library by library” という説明に行き当たりました。図書館システムのための OSS ライブラリであり、書籍の検索などの、さまざまな機能に対応しているようです。そんな VuFind に、深刻な脆弱性 CVE-2024-25737/CVE-2024-25738 が発生とのことです。ご利用のチームは、お気をつけください。
IoT OT Security News 
You must be logged in to post a comment.