【CVE-2024-10657】Tongda OA 11.10までのバージョンでSQLインジェクションの脆弱性が発見、リモートからの攻撃が可能に

text: XEXEQ編集部
（記事は執筆時の情報に基づいており、現在では異なる場合があります）

記事の要約

Tongda OA 11.10までのバージョンにSQLインジェクションの脆弱性
prcs_info.phpファイルのRUN_ID引数が影響を受ける
リモートから攻撃可能な深刻な脆弱性として報告

Tongda OA 11.10のSQL脆弱性

2024年11月1日、Tongda OAの11.10以前のバージョンにおいて、重大なSQLインジェクションの脆弱性が発見され公開された。この脆弱性は/pda/approve_center/prcs_info.phpファイル内の未知の機能に存在しており、RUN_ID引数の操作によってSQLインジェクションが可能となっている。^[1]

この脆弱性は【CVE-2024-10657】として識別されており、CVSSスコアではバージョン4.0で5.3（中程度）、バージョン3.1と3.0で6.3（中程度）と評価されている。攻撃者は特別な権限を必要とせずにリモートから攻撃を実行できる可能性があるため、早急な対応が必要となっている。

影響を受けるバージョンはTongda OA 11.0から11.10までのすべてのバージョンであり、既に攻撃コードが公開されている状態となっている。VulDBの報告によると、この脆弱性は既に一般に公開されており、悪用される可能性が高い状態となっているのだ。

Tongda OA脆弱性の詳細

項目	詳細
CVE番号	CVE-2024-10657
影響を受けるバージョン	11.0から11.10まで
脆弱性の種類	SQLインジェクション（CWE-89）
CVSSスコア（v4.0）	5.3（中程度）
攻撃条件	リモートから実行可能、特別な権限不要
影響範囲	機密性・完全性・可用性に影響

SQLインジェクションについて

SQLインジェクションとは、Webアプリケーションのセキュリティ上の脆弱性を悪用して、不正なSQLコマンドを実行する攻撃手法のことを指す。主な特徴として、以下のような点が挙げられる。

データベースに対する不正なコマンド実行が可能
機密情報の漏洩や改ざんのリスクが存在
適切な入力値のバリデーションで防止可能

Tongda OAの場合、prcs_info.phpファイル内のRUN_ID引数に対する適切な入力値検証が行われていないことが脆弱性の原因となっている。この種の脆弱性は適切なパラメータのサニタイズやプリペアドステートメントの使用によって防ぐことが可能だが、発見された脆弱性への迅速な対応が重要となるだろう。

Tongda OAの脆弱性に関する考察

SQLインジェクションの脆弱性が複数のバージョンにわたって存在していた点は、Tongda OAのセキュリティ管理体制に課題があることを示している。特にprcs_info.phpファイルの入力値検証が適切に実装されていなかった点は、開発プロセスにおけるセキュリティレビューの重要性を再認識させる結果となっている。

今後は同様の脆弱性を防ぐため、コードレビューやセキュリティテストの強化が必要となるだろう。特にユーザー入力を扱う部分については、プリペアドステートメントの使用やエスケープ処理の徹底など、基本的なセキュリティ対策の見直しが求められている。

Tongda OAの開発チームには、脆弱性の修正パッチの提供に加えて、セキュリティ機能の強化やセキュアコーディングガイドラインの整備が期待される。エンタープライズ向けアプリケーションとして、より堅牢なセキュリティ対策の実装が不可欠だ。