「http4k」にXXE脆弱性 - リモートコード実行や情報漏洩のおそれ

KotlinベースのHTTPアプリケーションを開発するためのフレームワーク「http4k」に、深刻な脆弱性が明らかとなった。

XML外部実体参照（XXE）の脆弱性「CVE-2024-55875」が存在し、悪意ある「XMLコンテンツ」を処理するアプリケーションにおいて、情報が漏洩するおそれがあるほか、サーバサイドリクエストフォージェリ（SSRF）によってコードを実行されるといったおそれがある。

CVE番号を採番したGitHubでは、共通脆弱性評価システム「CVSSv3.1」のベーススコアを「9.8」と評価。重要度を4段階中もっとも高い「クリティカル（Critical）」とレーティングした。概念実証コード（PoC）も公開されている。

開発チームでは、現地時間12月12日「同5.41.0.0」「同4.50.0.0」にて同脆弱性を修正。利用者にアップデートが呼びかけられている。

（Security NEXT - 2024/12/18 ） ツイート

PR

関連記事

阿波銀で顧客情報の不正持出が判明、金銭着服も - 職員を処分
システムでランサム被害、受注や出荷に遅滞 - 興和江守
IoTゲートウェイ「OpenBlocks」に脆弱性 - 修正版が公開
組込用SSHライブラリ「wolfSSH」に認証回避など深刻な脆弱性
「GitLab」にセキュリティアップデート - 脆弱性7件を解消
米政府、「HPE OneView」「PowerPoint」の脆弱性悪用に注意喚起
データ圧縮ライブラリ「zlib」に含まれる「untgz」に深刻な脆弱性
クレカ決済データ2.5万件超をメールで店舗に誤送信 - 東急モールズD
個人情報含むPCを電車内に置き忘れ、データは暗号化 - 埼玉県
無関係企業に個人情報を誤送信、システム改修時に不具合 - ふるさと島根定住財団