【テックラジオ】巷のセキュリティ 2023年01月28日

巷のセキュリティ

概要

その日に起こった脆弱性報告、セキュリティニュース、インシデント・障害情報などをできるだけ毎日まとめています。

広告

本日の巷のニュース 

  • sanitizeにクロスサイトスクリプティングの脆弱性
  • GrafanaにスナップショットoriginalUrlの偽装が可能な脆弱性
  • EasyMailにクロスサイトスクリプティングの脆弱性

sanitizeにクロスサイトスクリプティングの脆弱性

Ruby製の HTML and CSS sanitizerにはクロスサイトスクリプティングに対する脆弱性が存在します。

影響をうける対象

  • allowlistにnoscriptが含まれた設定状態である、バージョン5.0.0以上で6.0.0以下

対処方法

  • 6.0.1以上へのアップデート
  • カスタム設定に要素の allowlist に noscript が含まれないようにする.

一次情報

  • https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-23627
  • https://github.com/rgrove/sanitize/security/advisories/GHSA-fw3g-2h3j-qmm7

GrafanaにスナップショットoriginalUrlの偽装が可能な脆弱性

OSSのデータ可視化ツールであるGrafanaにはスナップショットのoriginalUrlが偽装可能です。悪意のあるユーザーがスナップショットを作成し、クエリを編集してoriginalUrlパラメータを任意に選択することが可能です。

影響をうける対象

  • 8.5.16と9.2.8より前のバージョン

対処方法

  • 8.5.16 または9.2.8へのアップデート

一次情報

  • https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-39324
  • https://github.com/grafana/grafana/security/advisories/GHSA-4724-7jwc-3fpw
  • https://github.com/grafana/grafana/commit/d7dcea71ea763780dc286792a0afd560bff2985c

EasyMailにクロスサイトスクリプティングの脆弱性

株式会社ファーストネットジャパンが提供する EasyMail には、クロスサイトスクリプティングの脆弱性が存在します。

影響をうける対象

  • EasyMail 2.00.130 およびそれ以前のバージョン

対処方法

  • 差分ファイル等を利用して反映

一次情報

  • https://jvn.jp/jp/JVN05288621/index.html
  • https://www.mubag.com/2023/01/27/crosssitescripting20230124/