こんにちは。「クロジカサーバー管理」プリセールスの高瀬です。
2022年4月にEJSについて重大な脆弱性(CVE-2022-29078)が発表されました。
テンプレートインジェクション攻撃を引き起こす可能性があり、アメリカ国立標準技術研究所の脆弱性データベースでは危険度がCriticalとなっています。
https://nvd.nist.gov/vuln/detail/CVE-2022-29078
EJSで実装されたサイトに対して、テンプレートインジェクション攻撃を受けることで、最悪の場合リモートから任意のコマンドを実行されてしまう可能性もあります。
脆弱性の対象となるバージョン
EJSはNode.js向けのテンプレートエンジンです。影響を受けるバージョンはEJS v3.1.6以下となります。
https://nvd.nist.gov/vuln/detail/CVE-2022-29078
脆弱性の対策
開発元から修正版が出ているため、アップデートする形になります。
https://github.com/mde/ejs/releases
Webサイトへの影響について
対象バージョンのEJSにはテンプレートにパラメータを挿入する際の処理に不備があり、不正な処理を注入されてしまう可能性があります。
そのため、EJSで実装したWebシステムに対して細工されたリクエストを送ることでサーバー上で任意のコマンドを実行されてしまい、最悪の場合サーバーを乗っ取られてしまう可能性があります。
危険度の高い脆弱性となるため、可能な限り早めに検証、修正のスケジュールを策定してEJSのアップデートを実施することをお勧めします。
さいごに
弊社ではお客様サーバーのご利用状況に応じて、エンジニアが日々発表される脆弱性の影響有無を確認して、必要に応じて修正パッケージの適用を行なっております。
サイト制作、運用が多忙でサーバーソフトの脆弱性対策を行うことが難しい場合はぜひご相談くださいませ。
コーポレートサイトをクラウドでセキュアに
無料ではじめるサーバー管理
クロジカガイドブック
- コーポレートサイト構築・運用の課題を解決
- クロジカサーバー管理の主な機能
- 導入事例
- 導入までの流れ
