.png)
2025年5月、Seleniumベースの自動化テストに欠かせないJavaライブラリ「WebDriverManager」に、XML外部実体(XXE)インジェクションの脆弱性(CVE-2025-4641)が発見されました。この脆弱性のCVSSスコアは9.3と極めて高く、影響範囲はWindows、macOS、Linuxと多岐にわたります。
目次
WebDriverManagerとは?
WebDriverManagerは、Selenium WebDriverを使った自動化テストで必要な各種ブラウザドライバ(ChromeDriver、GeckoDriver、EdgeDriverなど)を自動で管理・取得するライブラリです。CI/CDパイプラインでの自動テストや、Dockerを活用したブラウザ起動の自動化など、開発現場での導入実績も非常に多いツールです。
主な機能:
-
システムにインストール済みのブラウザ検出
-
WebDriverオブジェクトの自動生成(ChromeDriver、FirefoxDriverなど)
-
Docker内でのブラウザ起動に対応
脆弱性の内容:XML External Entity(XXE)
今回の脆弱性は、XML解析時の不適切なエンティティ処理が原因で、攻撃者が外部実体(External Entity)を悪用することにより、以下のような悪影響を及ぼす可能性があります。
想定される攻撃シナリオ
-
ローカルファイルへの不正アクセス
例:/etc/passwdや環境変数ファイルなど、機密性の高い情報を読み取られる -
サーバーサイドリクエストフォージェリ(SSRF)
例:内部システムやクラウドメタデータAPIへの不正リクエスト送信 -
情報漏洩や横展開、さらなる侵入の足がかり
このようなXXEの脆弱性は、開発ツールやCI環境の中に入り込むと、サプライチェーン全体に深刻な影響を与える可能性があります。
対応方法とアップデート情報
脆弱性はWebDriverManager 6.0.2で修正済みです。開発元であるBonigarciaは、XML解析のセキュリティ強化として以下のような対策を導入しています
この処理により、外部実体の読み込みをブロックし、不正なXML構造からの攻撃を防止します。
情報システム部門・開発チームへの推奨対応
-
WebDriverManagerをバージョン6.0.2以降へアップデート
-
CI/CD環境で当該ライブラリを使用している場合、Dockerイメージやビルド済みアーティファクトの再構築
-
他のXMLパーサーやライブラリにおいても、XXE対策の有無を確認
-
社内ライブラリや依存モジュールのSBOM(ソフトウェア部品表)を作成・管理し、影響範囲の可視化
関連記事
100万以上ダウンロードされている、Node.jsライブラリ「xml-crypto」に深刻な脆弱性(CVE-2025-29774, CVE-2025-29775)
MicrosoftがAzureおよびPower Appsに関する重大な脆弱性4件を修正 ~最大CVSS 10.0の特権昇格も対象~
Microsoftが偵察から仮想通貨 盗難まで行うトロイの木馬「StilachiRAT」を発見
a-blog cms に複数の深刻な脆弱性-SSRF脆弱性はCVSSスコア9.2、即時のアップデートを推奨
Ivantiの複数製品で危険度の高い脆弱性が発生(CVE-2023-46805、CVE-2024-21887)
Azure ネットワーク サービスタグで脆弱性が発生 悪用の可能性
横河電機の産業用レコーダーに期設定で認証機能が無効化されている脆弱性(CVE-2025-1863)
Fortinet FortiWLMで致命的な脆弱性(CVE-2023-34990)
Fortinetのゼロデイ脆弱性 CVE-2024-55591のPoCエクスプロイトが公開
