JPCERT コーディネーションセンターと独立行政法人情報処理推進機構 (IPA)が共同運営するJVNに、SHIRASAGI におけるクロスサイト・スクリプティング脆弱性が公開されました。
https://jvn.jp/jp/JVN18765463/
JVN18765463 には複数の脆弱性の指摘が含まれています。
- スケジュール機能における格納型クロスサイトスクリプティング - CVE-2023-22425
- Theme切り替え機能における格納型クロスサイトスクリプティング - CVE-2023-22427
スケジュール機能における格納型クロスサイトスクリプティングの脆弱性をついた攻撃を成立させるには、下記のいずれかの条件が必要となります。
- シラサギのグループウェアにログインし、左側のメニューから 「スケジュール」 - 「設備設定」をたどる
- 上部メニューの「新規作成」をクリックし、設備名に
XSS<script>alert(document.URL)</script>
のような内容を入力し、保存ボタンをクリックして設備を作成する - 左側のメニューから 「スケジュール」 - 「個人」をたどる。
- カレンダーの上部の「予定を作成」をクリックし、「設備を選択する」をクリックし、2 で作成した設備を選択する。
Theme切り替え機能における格納型クロスサイトスクリプティングの脆弱性をついた攻撃を成立させるには、下記のいずれかの条件が必要となります。
- CMS の管理画面にログインし、 サイト設定>Theme切り替え>新規作成まで遷移する。
- 名前に "XSS" などの適当な名前を入力、class属性に "xss" などの適当な値を入力し、cssパスに
#"><script>alert('XSS')</script><!--
と入力後「保存」を押下し、Theme切り替えを新規作成する。 - 2 で登録した Theme 切り替えを反映するためにページ書き出しやフォルダー書き出しを実行する。
- Theme 切り替えを利用したページにアクセスする。
この脆弱性は v1.16.2 以前のシラサギに存在し、v1.17.0 で修正されています。
v1.16.2 以前のバージョンをお使いの方は v1.17.0 へのバージョンアップを実施頂くか、下記のコミットの反映をお願いします。
- https://github.com/shirasagi/shirasagi/commit/79a59b2aaa15260ded79728198fdf9321570911f
v1.14.2 以前のバージョンをお使いの方向けの注意点として、シラサギ1.15.0 リリースに記載しているとおり CMS に重大な非互換がありますので、この点を考慮の上バージョンアップを検討するようにしてください。