「http4k」にXXE脆弱性 - リモートコード実行や情報漏洩のおそれ
KotlinベースのHTTPアプリケーションを開発するためのフレームワーク「http4k」に、深刻な脆弱性が明らかとなった。
XML外部実体参照(XXE)の脆弱性「CVE-2024-55875」が存在し、悪意ある「XMLコンテンツ」を処理するアプリケーションにおいて、情報が漏洩するおそれがあるほか、サーバサイドリクエストフォージェリ(SSRF)によってコードを実行されるといったおそれがある。
CVE番号を採番したGitHubでは、共通脆弱性評価システム「CVSSv3.1」のベーススコアを「9.8」と評価。重要度を4段階中もっとも高い「クリティカル(Critical)」とレーティングした。概念実証コード(PoC)も公開されている。
開発チームでは、現地時間12月12日「同5.41.0.0」「同4.50.0.0」にて同脆弱性を修正。利用者にアップデートが呼びかけられている。
(Security NEXT - 2024/12/18 )
ツイート
関連リンク
PR
関連記事
「NetScaler ADC/Gateway」に複数脆弱性 - アップデートで修正
「Adobe ColdFusion」に複数の深刻な脆弱性 - 早急に対応を
「iOS/iPadOS 26.5.2」を公開、脆弱性37件を修正
「Adobe Campaign Classic」に悪用リスクが高い脆弱性
「Chrome」にアップデート - 382件の脆弱性に対応
過去年度の申請書を誤って廃棄か - 長崎県警
労働力調査の調査世帯一覧表を紛失 - 栃木県
本の雑誌社のXアカウントが乗っ取り被害 - 注意を呼びかけ
アフラック契約者サイトなどで顧客約438万人の個人情報が流出
中学校でサポート詐欺被害、端末内部に個人情報 - 石垣市
