CVE-2024-8940 (CVSS 10): Critical Flaw in Scriptcase Low-Code Platform Leaves Developers at Risk
2024/10/01 SecurityOnline — 人気のローコード・プラットフォーム Scriptcase を使用している開発者に求められるのは、アプリケーションを深刻なセキュリティ・リスクにさらす可能性のある、3件の深刻な脆弱性に対処するために、速やかにソフトウェアをアップデートすることだ。
PHP Web アプリケーションの開発を、簡素化/高速化するために設計された Scriptcase は、広く利用ローコード・プラットフォームである。開発者は GUI を介して PHP コードを生成し、用意されているデプロイメント・オプションを用いてイントラネットとインターネットに対応できる。この Scriptcase の柔軟性により、PHP 開発プロセスの合理化を目指す開発者にとって、この柔軟な Scriptcase は頼りになるツールとなっている。
セキュリティ研究者である Rafael Pedrero により発見され、スペイン国立サイバーセキュリティ研究所 (INCIBE) が精査した脆弱性は、Scriptcase バージョン 9.4.019 に影響するものである。具体的には、以下の3件となる:
- CVE-2024-8940 (CVSS:10):任意のファイルのアップロード:この脆弱性を悪用する攻撃者は、悪意のファイルをサーバにアップロードし、リモート・コード実行を達成し、システム全体を侵害する可能性を手にする。
- CVE-2024-8941 (CVSS:7.5):パス・トラバーサル:この脆弱性の悪用に成功した攻撃者は、制限されたディレクトリへの不正アクセスを達成し、機密ファイルを読み取ることで、さらなるシステムの制御を可能にする。
- CVE-2024-8942 (CVSS:6.3):クロス・サイト・スクリプティング (XSS):この欠陥を悪用すする攻撃者は、Web ページに悪意のスクリプトを挿入し、ユーザー認証情報の窃取や、セッションの乗っ取りを可能にする。
緊急対応
これらの脆弱性は深刻なものであり、また、広範囲にわたる悪用の可能性が生じている。したがって、開発者に対して推奨されるのは、Scriptcase の最新バージョンへと、直ちにアップグレードすることだ。最新リリースには、3件の脆弱性に対する修正が含まれているため、攻撃のリスクが軽減される。
影響の理解
前述のとおり Scriptcase は、迅速なアプリケーション開発を可能にする、広く使用されているローコード・プラットフォームである。その人気は、GUI を用いて、PHP Web アプリを迅速かつ効率的に生成できる点にある。その一方で、これらの脆弱性が浮き彫りにするのは、ローコード・ソリューションであっても警戒を怠ることなく、最新のセキュリティ・パッチを適用することの重要性である。
Scriptcase ですが、何本かの日本語コンテンツも提供されており、それなりに国内でも利用されているのだろうと思える状況です。ご利用のチームは、ご注意ください。つい先日の 2024/09/29 には、「PHP の脆弱性 CVE-2024-9026 などが FIX:データ漏洩/システム侵害などが生じる恐れ」という記事をポストしています。よろしければ、PHP で検索と併せて、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.