概要
Microsoft Office SharePoint に おいて、クロスサイト スクリプティング(XSS)の 脆弱性 が 発見 されました。この 脆弱性 は CWE-79(Improper Neutralization of Input During Web Page Generation)に 分類 され、Web ページ 生成 時 に ユーザー 入力 の 無効化 が 適切 に 行われて いない こと が 原因 です。
この 脆弱性 の 特筆 す べき 点 は、未認証 の 攻撃者 が ネットワーク 経由 で 悪用 可能 で ある こと です。攻撃者 は 特別 に 細工 された リクエスト を SharePoint サーバー に 送信 する こと で、他 の ユーザー の ブラウザ 上 で 任意 の スクリプト を 実行 させ、スプーフィング 攻撃 を 行う こと が できます。
SharePoint は 企業 の 情報 共有 および コラボレーション 基盤 として 広く 利用 されて おり、多く の 従業員 が 日常的 に アクセス する プラットフォーム です。XSS 脆弱性 に より、攻撃者 は ユーザー の セッション Cookie を 窃取 し たり、フィッシング コンテンツ を 正規 の SharePoint ページ 上 に 表示 させ たり する こと が 可能 に なります。
攻撃 に は ユーザー の 関与 が 必要 で あり、被害者 が 悪意 の ある リンク を クリック する か、細工 された ページ を 閲覧 する 必要 が あります。しかし、SharePoint サイト 内 の リンク として 偽装 される こと で、ユーザー が 疑い なく アクセス する 可能性 が 高い ため、実際 の 攻撃 成功率 は 高い と 考えられ ます。CVSS スコア は 8.1 で あり、早期 の 対策 が 必要 です。
CVSSベクトル
| 項目 | 値 |
|---|---|
| CVSSスコア | 8.1 |
| 深刻度 | High |
| CWE | CWE-79 (クロスサイトスクリプティング) |
| 攻撃元区分 | ネットワーク |
| 攻撃条件の複雑さ | 低 |
| 必要な特権レベル | 不要 |
| ユーザー関与 | 必要 |
| 影響の想定範囲 | 変更あり |
| 機密性への影響 | 高 |
| 完全性への影響 | 高 |
| 可用性への影響 | なし |
影響を受けるソフトウェア
| 製品 | ベンダー | 影響バージョン |
|---|---|---|
| Microsoft Office SharePoint | Microsoft | 影響を受けるバージョンはMSRCアドバイザリを参照 |
SharePoint Server 2016、SharePoint Server 2019、SharePoint Server Subscription Edition など の オンプレミス 版 SharePoint が 影響 を 受ける 可能性 が あります。SharePoint Online(Microsoft 365)に ついて は、Microsoft 側 で 管理 されて いる ため、自動的 に 修正 が 適用 される 場合 が あります。正確 な 影響 範囲 は MSRC アドバイザリ を 確認 して ください。
修正バージョンと回避策
- 修正バージョン: Microsoft が 提供 する 最新 の セキュリティ 更新 プログラム を 適用 して ください
- 暫定回避策: SharePoint サーバー に おける コンテンツ セキュリティ ポリシー(CSP)ヘッダー を 強化 し、インライン スクリプト の 実行 を 制限 する
- 追加対策: ユーザー に 対して 不審 な リンク を クリック しない よう セキュリティ 啓発 を 実施 する。Web Application Firewall(WAF)を 導入 して XSS パターン の リクエスト を フィルタリング する
関連リンク
データソース: NVD (NIST), Microsoft Security Response Center AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。