FitNesse に複数の脆弱性

　独立行政法人情報処理推進機構（IPA）および一般社団法人JPCERT コーディネーションセンター（JPCERT/CC）は3月18日、FitNesse における複数の脆弱性について「Japan Vulnerability Notes（JVN）」で発表した。GMOサイバーセキュリティ byイエラエ株式会社の西谷完太氏と渡部裕氏が報告を行っている。影響を受けるシステムは以下の通り。

・CVE-2024-28128
FitNesse リリース 20220319 より前

・CVE-2024-23604, CVE-2024-28039, CVE-2024-28125
FitNesse すべてのリリース

　FitNesse には、下記の影響を受ける可能性がある複数の脆弱性が存在する。

・クロスサイトスクリプティング（CVE-2024-23604）
→当該製品を使用しているユーザが複数のパラメータを細工されたリンクにアクセスすると、このユーザのウェブブラウザ上で任意のスクリプトが実行される

・クロスサイトスクリプティング（CVE-2024-28128）
→当該製品を使用しているユーザが特定のパラメータを細工されたリンクにアクセスすると、このユーザのウェブブラウザ上で任意のスクリプトが実行される

・XML 外部エンティティ参照 (XXE) の不適切な制限（CVE-2024-28039）
→当該製品のユーザによって、機微な情報の窃取、データの改ざんおよびサービス運用妨害（DoS）攻撃が行われる

・OS コマンドインジェクション（CVE-2024-28125）
→当該製品のユーザによって、任意の OS コマンドを実行される

　JVNでは、下記の対策を行うよう呼びかけている。

・CVE-2024-28128
　開発者が提供する情報をもとに最新版にアップデート
※本脆弱性は、FitNesse リリース 20220319 で修正されている。

・CVE-2024-23604, CVE-2024-28039, CVE-2024-28125
　Security Policy に示す Using FitNesse Safely の適用