セキュリティ

SECURITY

公開：2024-11-07

【CVE-2024-10613】ESAFENET CDG 5にSQL injection脆弱性、重大な影響でセキュリティリスクが増大

text: XEXEQ編集部
（記事は執筆時の情報に基づいており、現在では異なる場合があります）

記事の要約

• ESAFENET CDG 5にSQL injection脆弱性が発見
• delSystemEncryptPolicyの関数で脆弱性を確認
• 重大な脆弱性として公開され対応が必要

ESAFENET CDG 5のSQL injection脆弱性

2024年11月1日、ESAFENET CDG 5において重大な脆弱性が発見され【CVE-2024-10613】として公開された。この脆弱性はdelSystemEncryptPolicy関数のSystemEncryptPolicyService.javaファイルに存在しており、idパラメータを操作することでSQL injectionが可能になることが判明している。^[1]

この脆弱性は遠隔から攻撃を実行できる可能性があり、既に公開されているため悪用のリスクが高い状態となっている。脆弱性の深刻度はCVSS 4.0で5.3（Medium）、CVSS 3.1で6.3（Medium）と評価され、早急な対応が求められる状況だ。

VulDBによって報告されたこの脆弱性について、ベンダーのESAFENETには事前に連絡が行われたものの、現時点で何らかの対応は行われていない。この脆弱性は認証が必要な状態で利用可能であり、機密性と整合性、可用性に影響を与える可能性がある状態となっている。

ESAFENET CDG 5の脆弱性詳細

SQL injectionについて

SQL injectionとは、Webアプリケーションのセキュリティ上の脆弱性を利用した攻撃手法の一つであり、データベースに不正なSQLコマンドを挿入・実行することで、データの改ざんや情報漏洩を引き起こす危険性がある。特に認証システムやデータ管理機能において深刻な影響をもたらす可能性が高い。

• データベースの改ざんや破壊が可能
• 機密情報の不正取得のリスクあり
• システム全体の整合性に影響を与える

ESAFENET CDG 5で発見されたSQL injection脆弱性は、delSystemEncryptPolicy関数のidパラメータを操作することで不正なSQLコマンドを実行できる状態にある。この脆弱性はCVSS 4.0で5.3（Medium）、CVSS 3.1で6.3（Medium）と評価されており、認証された状態での攻撃が可能となっている。

ESAFENET CDG 5の脆弱性に関する考察

ESAFENET CDG 5の脆弱性は、認証が必要な状態での攻撃となるため、完全な対策としては適切な入力値のバリデーションとパラメータのサニタイズ化が不可欠となる。開発者はプリペアドステートメントやストアドプロシージャを適切に実装し、SQLインジェクション攻撃のリスクを最小限に抑える必要があるだろう。

今後は同様の脆弱性を防ぐため、継続的なセキュリティ監査とコードレビューの実施が重要となる。特にデータベース操作を行う機能については、開発段階から厳密なセキュリティテストを実施し、脆弱性の早期発見と修正を行うことが求められるだろう。

ベンダーのESAFENETには、脆弱性報告に対する迅速な対応と、セキュリティアップデートの提供が期待される。ユーザー側も定期的なセキュリティアップデートの適用と、アクセス権限の適切な管理を行うことで、リスクの軽減を図ることが重要となる。

参考サイト

1. ^ CVE. 「CVE Record | CVE」. https://www.cve.org/CVERecord?id=CVE-2024-10613, (参照 24-11-07).

※上記コンテンツはAIで確認しておりますが、間違い等ある場合はコメントよりご連絡いただけますと幸いです。

「セキュリティ」に関するコラム一覧「セキュリティ」に関するニュース一覧