概要
SAP Business OneのJob Serviceに、DOMベースのクロスサイトスクリプティング(XSS)の脆弱性(CVE-2026-0489)が発見されました。この脆弱性は、URLのクエリパラメータにおけるユーザー制御入力の検証が不十分であることに起因します。認証されていない攻撃者が特別に細工された入力を注入し、ユーザーがその入力とインタラクションすることで、XSS攻撃が成立する可能性があります。
影響範囲
影響を受ける製品はSAP Business OneのJob Serviceと報告されています。具体的なバージョン情報は現時点では提供されていませんが、SAP Business Oneをご利用の企業は確認が必要です。
想定される影響
この脆弱性が悪用された場合、攻撃者はユーザーのブラウザ上で任意のスクリプトを実行する可能性があります。これにより、セッションハイジャック、悪意のあるコンテンツの表示、フィッシング攻撃への誘導などが行われる可能性があります。報告によると、機密性と完全性への影響は低いと評価されており、可用性への影響はないとされています。
攻撃成立条件・悪用状況
攻撃は、認証されていない攻撃者がURLのクエリパラメータに細工された入力を注入し、さらにユーザーがその細工されたURLとインタラクション(例えばクリックなど)することで成立すると報告されています。現時点では、この脆弱性の悪用状況に関する具体的な情報は公開されていません。
推奨対策
SAP Business Oneをご利用のIT担当者様は、以下の対策を検討してください。
今すぐできる対策
- ベンダーからの情報収集: SAP社から提供される公式のセキュリティパッチやアップデート情報を常に確認し、速やかに適用することを強く推奨します。
- 入力値の検証強化: アプリケーション側でURLのクエリパラメータを含む全てのユーザー入力に対して、厳格なサニタイズと検証を実装してください。
中長期的な対策
- セキュリティ教育の実施: 従業員に対し、不審なURLやリンクをクリックしないよう、フィッシング詐欺やXSS攻撃に関するセキュリティ意識向上トレーニングを実施してください。
- Webアプリケーションファイアウォール (WAF) の導入: WAFを導入することで、XSS攻撃を含む一般的なWebアプリケーション攻撃を検知・ブロックできる可能性があります。
一時的な緩和策
現時点では、具体的な一時的な緩和策は報告されていません。最も効果的な対策は、ベンダーからのパッチ適用です。
確認方法
ご自身の環境がこの脆弱性の影響を受けるかどうかについては、SAP社からの公式アナウンスや提供されるツール、または専門家による診断サービスを通じて確認することをお勧めします。
参考情報
詳細については、以下のリンクをご参照ください。