1. セキュリティ対策ラボ
  2. セキュリティニュース
  3. Go言語のフレームワーク「Beego」で深刻な脆弱性(CVE-2025-30223)、対象者はアップデートを

Go言語のフレームワーク「Beego」で深刻な脆弱性(CVE-2025-30223)、対象者はアップデートを

セキュリティニュース

投稿日時: 更新日時:

Go言語のフレームワーク「Beego」で深刻な脆弱性(CVE-2025-30223)、対象者はアップデートを

Go言語のフレームワーク「Beego」で深刻な脆弱性(CVE-2025-30223)が発生しています。パッチはリリース済みなので対象者はアップデートする事をお勧めします。

Beegoとは

GitHub で 32,000 を超えるスターを獲得している Beego は、REST API、Web アプリ、バックエンド サービスの構築に広く使用されています。合理化された構文と開発者に優しい抽象化により、Go エコシステムで利用されているフレームワークとなっています。

脆弱性の対象バージョン

2.3.5以下の全バージョンに影響

脆弱性の対象バージョン

2.3.6以上

脆弱性の概要

公式では「RenderForm()Beego の機能には、ユーザーが制御するデータの不適切な HTML エスケープが原因で、クロスサイト スクリプティング (XSS) の脆弱性が存在します。この脆弱性により、攻撃者は悪質な JavaScript コードを挿入して被害者のブラウザーで実行することができ、セッション ハイジャック、資格情報の盗難、またはアカウントの乗っ取りにつながる可能性があります。この脆弱性はRenderForm()、ユーザーが提供したデータを使用して Beego の機能を使用するすべてのアプリケーションに影響します。」としています。

公式でPoCもリリースされているので、悪用に注意が必要

脆弱性の影響範囲

BeegoのRenderForm()を使用して、ユーザー入力をフォーム要素に出力しているすべてのWebアプリケーションが影響を受けます。特に以下のような画面は注意が必要です。

  • 管理画面やユーザー管理インターフェース

  • ユーザー間のプロフィール表示ページ

  • 公開投稿・コメント欄

関連記事

Microsoftが偵察から仮想通貨 盗難まで行うトロイの木馬「StilachiRAT」を発見Microsoftが偵察から仮想通貨 盗難まで行うトロイの木馬「StilachiRAT」を発見 トロイの木馬化された「jQuery」がnpmやGitHubで拡散トロイの木馬化された「jQuery」がnpmやGitHubで拡散 シスコ、10年前の脆弱性を悪用する攻撃に関して注意喚起(CVE-2014-2120)シスコ、10年前の脆弱性を悪用する攻撃に関して注意喚起(CVE-2014-2120) Laravelの拡張パッケージFilamentで重大なXSS 脆弱性(CVE-2024-47186)Laravelの拡張パッケージFilamentで重大なXSS 脆弱性(CVE-2024-47186) Default ThumbnailSAP Financial Consolidationの緊急度の高い脆弱性を修正(CVE-2024-37177、CVE-2024-34688) WordPress用プラグイン「Forminator」で複数の脆弱性が発生WordPress用プラグイン「Forminator」で複数の脆弱性が発生 Windows版のVMware Tools に認証バイパスの脆弱性、対象者はアップデートを(CVE-2025-22230)Windows版のVMware Tools に認証バイパスの脆弱性、対象者はアップデートを(CVE-2025-22230) WordPress用プラグイン「Forminator」で複数の脆弱性が発生WordPress用プラグイン「LiteSpeed Cache」で重大な脆弱性が発生(CVE-2023-40000) JavaScriptのライブラリ「Polyfill.io」がサプライチェーン攻撃に悪用 10万以上のサイトに影響JavaScriptのライブラリ「Polyfill.io」がサプライチェーン攻撃に悪用 10万以上のサイトに影響