セキュリティ

SECURITY

公開：2024-11-06

【CVE-2024-10602】Tongda OA 2017にSQLインジェクションの脆弱性、複数バージョンに影響

text: XEXEQ編集部
（記事は執筆時の情報に基づいており、現在では異なる場合があります）

記事の要約

• Tongda OA 2017にSQLインジェクションの脆弱性が発見
• 影響を受けるバージョンは11.0から11.9
• リモートからの攻撃が可能で公開済み

Tongda OA 2017のSQLインジェクション脆弱性

セキュリティ研究者によってTongda OA 2017のバージョン11.0から11.9に重大な脆弱性が発見され、CVEデータベースに【CVE-2024-10602】として登録された。この脆弱性は/general/approve_center/list/input_form/data_picker_link.phpファイル内のdataSrc引数を操作することでSQLインジェクションが可能になるものである。^[1]

この脆弱性はリモートから攻撃可能であり、認証された状態での攻撃が想定されている。CVSSスコアはバージョン4.0で5.3（中程度）、バージョン3.1と3.0で6.3（中程度）と評価されており、機密性・整合性・可用性のそれぞれに対して低レベルの影響があるとされている。

脆弱性の詳細は既に公開されており、攻撃コードも利用可能な状態となっている。VulDBのデータによると、この脆弱性は自動化された攻撃は想定されていないものの、システムへの部分的な影響が及ぶ可能性が指摘されている。

Tongda OA 2017の脆弱性情報まとめ

SQLインジェクションについて

SQLインジェクションとは、Webアプリケーションのデータベース操作において、悪意のあるSQLコードを入力値に混入させることで不正な操作を行う攻撃手法のことを指す。主な特徴として、以下のような点が挙げられる。

• 入力値の検証が不十分な場合に発生する脆弱性
• データベースの不正な操作や情報漏洩が可能
• Webアプリケーションで最も一般的な攻撃の一つ

Tongda OA 2017の事例では、data_picker_link.phpファイル内のdataSrc引数に対する入力値の検証が不十分であることが原因となっている。この脆弱性を悪用されると、データベースへの不正アクセスや情報漏洩、さらにはシステムの改ざんなどのリスクが発生する可能性がある。

Tongda OA 2017の脆弱性に関する考察

Tongda OA 2017の脆弱性対策として最も評価できる点は、CVSSスコアによって脅威レベルが明確に定義されており、組織がリスク評価を行いやすい環境が整備されていることである。一方で、複数バージョンに同様の脆弱性が存在することから、開発プロセスにおけるセキュリティレビューの体制に課題があると考えられる。

今後予想される問題として、脆弱性情報が公開され攻撃コードも利用可能な状態であることから、実際の攻撃が増加する可能性が高いことが挙げられる。この課題に対しては、影響を受けるバージョンのユーザーに対して、早急なアップデートを促す通知システムの整備や、一時的な回避策の提供が有効な解決策となるだろう。

また、SQLインジェクション対策は比較的確立された技術であることから、今後の開発においては入力値の検証やプリペアドステートメントの利用など、基本的なセキュリティ対策の徹底が望まれる。継続的なセキュリティ教育とコードレビューの強化によって、同様の脆弱性の再発を防ぐことが期待される。

参考サイト

1. ^ CVE. 「CVE Record | CVE」. https://www.cve.org/CVERecord?id=CVE-2024-10602, (参照 24-11-06).

※上記コンテンツはAIで確認しておりますが、間違い等ある場合はコメントよりご連絡いただけますと幸いです。

「セキュリティ」に関するコラム一覧「セキュリティ」に関するニュース一覧