シノプシス、ソフトウェア・インテグリティ・グループの売却に関する最終契約を締結 詳細はこちら

close search bar

申し訳ありませんが、この言語ではまだご利用いただけません

close language selection

[CyRC脆弱性勧告]Black Duck Hubのクロス・サイト・スクリプティングの脆弱性

Black Duck Editorial Staff

May 15, 2022 / 1 min read

Table of Contents

CVE: CVE-2022-30278
重大度:High (7.1 CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:U/C:H/I:H/A:L)
公開日:2022年5月9日
最終更新日:2022年5月9日

概要

Black Duck Hubで使用しているMadCap Flareを用いたドキュメントファイルによって引き起こされるクロス・サイト・スクリプティング(XSS)の脆弱性により、未認証のリモートの攻撃者によるクロス・サイト・スクリプティング(XSS)攻撃の可能性があります。

この脆弱性は、Black Duck Hubのヘルプドキュメントに埋め込まれているMadCap Flareのフレームワークへのユーザーの入力の検証が不適切なことが原因です。攻撃者は、悪意のある入力をインターフェイスに渡すように設計されたリンクをクリックするようにユーザーを誘導してXSS攻撃を実行し、ブラウザベースの機密情報にアクセスする可能性があります。

CVE-2022-30278 は、2022年4月28日にリリースされたBlack Duck Hub バージョン2022.4で対処済みで、次のリンクから確認できます。
https://github.com/blackducksoftware/hub/releases/tag/v2022.4.0

緩和策

2022年5月5日、シノプシスがホストしているBlack Duck Hubは2022.4に更新されており、この脆弱性は解消されています。

また、お客様の環境でBlack Duck Hubをお使いの場合、適切なバージョンに更新いただく必要があります。詳しくはサポートにお問い合わせください。
https://community.blackduck.com/s/contactsupport

Continue Reading

トピックを探索する