「http4k」にXXE脆弱性 - リモートコード実行や情報漏洩のおそれ

KotlinベースのHTTPアプリケーションを開発するためのフレームワーク「http4k」に、深刻な脆弱性が明らかとなった。

XML外部実体参照（XXE）の脆弱性「CVE-2024-55875」が存在し、悪意ある「XMLコンテンツ」を処理するアプリケーションにおいて、情報が漏洩するおそれがあるほか、サーバサイドリクエストフォージェリ（SSRF）によってコードを実行されるといったおそれがある。

CVE番号を採番したGitHubでは、共通脆弱性評価システム「CVSSv3.1」のベーススコアを「9.8」と評価。重要度を4段階中もっとも高い「クリティカル（Critical）」とレーティングした。概念実証コード（PoC）も公開されている。

開発チームでは、現地時間12月12日「同5.41.0.0」「同4.50.0.0」にて同脆弱性を修正。利用者にアップデートが呼びかけられている。

（Security NEXT - 2024/12/18 ） ツイート

PR

関連記事

「MS Edge」にセキュリティアップデート - 脆弱性2件を解消
「Chrome」にアップデート、脆弱性3件を修正
「Veeam Backup & Replication」に深刻な脆弱性 - アップデートで修正
「Elastic Cloud Enterprise」に深刻な脆弱性 - アップデートやIoCを公開
アサヒグループHD、ランサム被害の影響で決算発表延期
PC廃棄委託先に不備、ネット接続検知から発覚 - ぼんち
予約サイトで個人情報流出の可能性 - 医学製薬関係者向け旅行会社
児童情報含む私物USBメモリを紛失、小学校教諭を処分 - 北海道
「認知症サポーター養成講座」の案内メールを誤送信 - 藤沢市
ビジネスプランコンテストの応募システムに不備、改修時に発生 - 日本政策金融公庫