JPCERT-AT-2023-0022 JPCERT/CC 2023-10-10(公開) 2023-10-18(更新) 2023-10-26(更新) I. 概要2023年10月10日、株式会社ノースグリッドはオンラインストレージ構築パッケージ製品「Proself」について、XML外部実体参照(XXE)に関する脆弱性があることを公開しました。 株式会社ノースグリッド [至急]Proselfのゼロデイ脆弱性(CVE-2023-45727)による攻撃発生について(更新) https://www.proself.jp/information/153/ ノースグリッド社によると、本脆弱性の悪用を含む一連の攻撃が確認されています。攻撃を受けた場合、システム内の任意のファイルを外部へ送信されるとのことです。同社の情報には、攻撃の痕跡を確認する手順、アップデート版をリリースするまでの暫定対応方法が掲載され
NEC サイバーセキュリティ戦略統括部 セキュリティ技術センターの外山です。今回はXML外部実体参照(XXE)に関する脆弱性について取り上げてみたいと思います。XMLはデータを保存する形式として高機能で便利ですが、適切に使用しないと意図せず脆弱性につながることがあります。どのようなケースで脆弱性につながることがあるのか、実例を交えて解説してみたいと思います。 注意: 本ブログの内容の悪用は厳禁です。本ブログの内容を使用したことによって発生する不利益等について筆者はいかなる責任も負いません。 Extensible Markup Language(XML)はSGMLからの移行を目的として開発されたマークアップ言語であり、データの保存・転送に用いられています。 XMLでは構造を定義するためにタグが使用され、単純な例としては以下のような形となります。 <?xml version="1.0" enc
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
ProselfのXML外部実体参照(XXE)に関する脆弱性を悪用する攻撃の注意喚起
本当は怖いXML ~XML外部実体参照(XXE)に関する脆弱性について~