セキュリティ

SECURITY

公開：2024-11-07

【CVE-2024-10594】ESAFENET CDG 5にSQLインジェクションの脆弱性、早急な対応が必要に

text: XEXEQ編集部
（記事は執筆時の情報に基づいており、現在では異なる場合があります）

記事の要約

• ESAFENET CDG 5に重大な脆弱性が発見
• FileDirectoryService.javaのdocHistory機能に影響
• SQLインジェクションによる攻撃が可能に

ESAFENET CDG 5におけるSQLインジェクションの脆弱性

ESAFENETは、CDG 5において重大なセキュリティ脆弱性が発見されたことを2024年10月31日に公開した。この脆弱性は/com/esafenet/servlet/fileManagement/FileDirectoryService.javaファイルのdocHistory機能において、fileId引数の操作によりSQLインジェクション攻撃が可能となる問題であることが判明している。^[1]

この脆弱性はリモートからの攻撃が可能であり、公開された脆弱性情報を用いて悪用される可能性が指摘されている。ESAFENETは早期に本件について連絡を受けていたものの、現時点で対応策を明示していないことから、ユーザーに深刻な影響を与える可能性が高まっているのだ。

本脆弱性はCVSSスコアにおいてv4.0で5.3、v3.1で6.3、v3.0で6.3、v2.0で6.5と評価されており、中程度の深刻度に分類されている。攻撃には認証情報が必要とされるものの、攻撃の複雑さは低く、機密性・整合性・可用性のいずれにも影響を及ぼす可能性が指摘されているのだ。

ESAFENET CDG 5の脆弱性詳細

SQLインジェクションについて

SQLインジェクションとは、Webアプリケーションのセキュリティ上の脆弱性を悪用する攻撃手法の一つであり、以下のような特徴が挙げられる。

• SQLコマンドを不正に挿入して実行可能
• データベースの改ざんや情報漏洩のリスクあり
• 入力値の検証不足が主な原因

ESAFENET CDG 5で発見された脆弱性では、FileDirectoryService.javaのdocHistory機能においてfileId引数の入力値が適切に検証されていないことが問題となっている。攻撃者は特別に細工されたSQLクエリを送信することで、データベースへの不正アクセスや情報漏洩を引き起こす可能性があるだろう。

ESAFENET CDG 5の脆弱性に関する考察

ESAFENETがセキュリティ研究者からの報告に対して適切な対応を取らなかったことは、企業のセキュリティ対応における重大な課題を浮き彫りにしている。脆弱性が公開された状態で対策が提供されていないことにより、悪意のある攻撃者による実証コードの作成や攻撃の試行が増加する可能性が高まっているのだ。

CDG 5のユーザーは、代替となるセキュリティ対策を検討する必要に迫られており、一時的な対応として該当機能の利用制限やアクセス制御の強化を実施することが求められている。ESAFENETには早急なセキュリティパッチの提供と、脆弱性報告に対する対応プロセスの改善が強く望まれるだろう。

長期的な観点からは、SQLインジェクション対策の基本であるプリペアドステートメントの採用やエスケープ処理の徹底など、セキュアコーディングの実践が不可欠である。ESAFENETには今回の事例を教訓として、開発プロセス全体でのセキュリティ品質向上に取り組んでほしい。

参考サイト

1. ^ CVE. 「CVE Record | CVE」. https://www.cve.org/CVERecord?id=CVE-2024-10594, (参照 24-11-07).

※上記コンテンツはAIで確認しておりますが、間違い等ある場合はコメントよりご連絡いただけますと幸いです。

「セキュリティ」に関するコラム一覧「セキュリティ」に関するニュース一覧