人気のパスワード管理製品にXSSの脆弱性 PoC公開でリスク急上昇：セキュリティニュースアラート

人気のパスワード管理製品BitwardenにPDFファイルを通じて悪意あるJavaScriptを実行できるXSSの脆弱性が見つかった。PoCが公開されており、サイバー攻撃者による悪用リスクが高まっているため注意が必要だ。

[後藤大地，有限会社オングス]

　「GitHub」で「XU」（YZS17）として活動するエンジニア（以降、XU氏と表記）が公開した情報によると、パスワードマネジメントプラットフォーム「Bitwarden」でファイルアップロード機能に関するクロスサイトスクリプティング（XSS）の脆弱（ぜいじゃく）性が存在することが分かった。

　同脆弱性は攻撃者が細工したPDFファイルをアップロードすることで、悪意あるJavaScriptコードを実行できる可能性がある。

Bitwardenに未対応のXSS脆弱性　PoC公開でリスク急上昇

　報告されている脆弱性のCVE情報は以下の通りだ。

• CVE-2025-5138：　XSSの脆弱性。Bitwardenの「Resources」機能におけるファイルアップロード処理が、アップロードされるファイルの種類を適切に制限していないことに起因する。影響を受けるのはPDFファイルの処理コンポーネントで、ユーザーがアップロードされた不正なPDFを「Google Chrome」などのWebブラウザで開くと、埋め込まれたスクリプトがBitwardenのドメイン内で実行される恐れがある。共通脆弱性評価システム（CVSS）v4.0のスコアは5.1、深刻度「警告」（Medium）と評価されている

　影響を受けるBitwardenのバージョンは以下の通りだ。

• Bitwarden 2.25.1およびこれ以前のバージョン

　XU氏はGitHubに既にPoC（概念実証）を公開しており、攻撃手順を具体的に説明している。この脆弱性についてベンダーに早期に報告しているが、返答は得られなかったという。

　XSS脆弱性により、アカウント乗っ取りや認証情報の窃取、被害者の権限を使った不正操作といった被害が発生するリスクがある。特に、ユーザーの操作によってPDFが新規タブやウィンドウで開かれた場合、悪意あるコードが実行されやすくなる。PoCが公開されたことで、この脆弱性が攻撃者に悪用されるリスクが高まっている。

　影響を受ける可能性のあるユーザーおよび組織はBitwardenを速やかに最新版にアップデートすることが推奨されている。加えてアップロードされるファイルの種類や内容のチェック、不正なファイルを検出してブロックするための仕組みを導入するなどの追加の対策を実施することも望まれている。