Popular Selenium Library WebDriverManager Hit by Critical XXE Bug (CVE-2025-4641, CVSS 9.3)
2025/05/16 SecurityOnline — Selenium ベースの自動化フレームワークで広く使用されている重要な Java ライブラリ、WebDriverManager に、重大な XML 外部エンティティ (XXE) の脆弱性 CVE-2025-4641 が発見された。この脆弱性は、CVSS スコアで 9.3 と評価されており、Windows/macOS/Linux を含む複数のプラットフォームに深刻な影響を及ぼす可能性がある。
この脆弱性は、XML 解析の不適切な処理に起因しており、攻撃者による悪意の外部エンティティの注入が可能となる。
CVE entry には、「bonigarcia が開発した、Windows/macOS/Linux 上で動作する WebDriverManager の XML 解析の処理機能において、XXE の脆弱性が存在し、これにより外部エンティティが過剰に展開される恐れがある」と記載されている。
XXE の脆弱性は、アプリケーションが外部エンティティへの参照を含む XML 入力を処理する際に発生する。この脆弱性を悪用する攻撃者は、以下のアクションを実行できる可能性がある。
- ローカルファイルへのアクセス:サーバーのファイルシステム上の機密ファイルを読み取る。
- サーバーサイド・リクエスト・フォージェリ(SSRF):サーバーに対して、任意の外部または内部システムへのリクエストを送信させる。
これらのアクションにより、情報漏洩/リソースへの不正アクセス/侵害されたシステムのさらなる悪用など、深刻な結果を招く可能性がある。
なお、この脆弱性はバージョン 6.0.2 にて修正されており、以下のような重要なセキュリティ強化が導入された。
factory.setFeature(XMLConstants.FEATURE_SECURE_PROCESSING, true);
WebDriverManager を使用しているすべてのユーザーに対して強く推奨されるのは、6.0.2 以降のバージョンへ直ちにアップデートすることである。このアップデートには、XXE の脆弱性を排除し、システムを潜在的な攻撃から保護するために必要な修正が含まれている。
Java ライブラリである WebDriverManager に、CVSS 値が 9.3 の深刻な脆弱性が発見されました。この脆弱性が悪用されると、情報漏洩やリソースへの不正アクセスなどに至る恐れがあるとのことです。開発者の皆さんは、十分にご注意ください。よろしければ、Java Library で検索も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.