セキュリティ

SECURITY

公開：2024-11-08

【CVE-2024-10502】ESAFENET CDG 5にSQL injection脆弱性が発見、ベンダーの対応に課題

text: XEXEQ編集部
（記事は執筆時の情報に基づいており、現在では異なる場合があります）

記事の要約

• ESAFENET CDG 5にSQL injection脆弱性が発見される
• getOneFileDirectory関数でSQL injectionが可能に
• ベンダーは脆弱性の報告に対して未対応のまま

ESAFENET CDG 5のSQL injection脆弱性

ESAFENET社のESAFENET CDG 5において、重大な脆弱性が2024年10月30日に公開された。FileDirectoryService.javaのgetOneFileDirectory関数においてdirectoryId引数を操作することでSQL injectionが可能となり、リモートから攻撃を実行できる状態となっている。^[1]

この脆弱性はCVSS 4.0で5.3（Medium）、CVSS 3.1とCVSS 3.0で6.3（Medium）、CVSS 2.0で6.5という評価を受けており、重大な影響を及ぼす可能性がある。脆弱性の詳細が公開された後もベンダーからの対応がないため、早急な対策が求められる状況だ。

攻撃者は特別な権限を必要とせずにリモートから攻撃を実行できるため、影響を受けるシステムは深刻なリスクにさらされている。脆弱性の情報は既に公開されており、攻撃者による悪用の可能性が高まっているため、システム管理者は早急なセキュリティ対策の実施が必要となるだろう。

ESAFENET CDG 5脆弱性の詳細まとめ

SQL injectionについて

SQL injectionとは、Webアプリケーションのデータベースに対して悪意のあるSQLコードを挿入し、不正な操作を行う攻撃手法のことを指す。主な特徴として、以下のような点が挙げられる。

• データベースの改ざんや情報漏洩を引き起こす可能性がある
• 入力値の検証が不十分な場合に発生しやすい
• 適切なパラメータ化クエリの使用で防止可能

ESAFENET CDG 5で発見された脆弱性は、FileDirectoryService.javaのgetOneFileDirectory関数においてdirectoryId引数の入力値の検証が不十分であることが原因となっている。攻撃者はこの脆弱性を悪用してデータベースに不正なSQLコードを挿入し、データの改ざんや情報の窃取を行う可能性があるため、早急な対策が必要だ。

ESAFENET CDG 5の脆弱性に関する考察

ESAFENET CDG 5の脆弱性は、基本的なセキュリティ対策であるSQL injection対策が実装されていない点が大きな問題となっている。入力値のバリデーションやプリペアドステートメントの使用など、一般的なセキュリティ対策を実装することで防げた可能性が高く、開発プロセスにおけるセキュリティレビューの重要性を再認識させられる結果となった。

特に懸念されるのは、ベンダーが脆弱性の報告に対して適切な対応を行っていない点である。脆弱性情報が公開された後も修正プログラムが提供されていないことから、ユーザー側で独自の対策を講じる必要が出てきており、システム管理者の負担が増大することが予想されるだろう。

今後はベンダーによる迅速な脆弱性対応体制の構築が期待される。セキュリティインシデントの報告から修正プログラムの提供までのプロセスを明確化し、ユーザーとの適切なコミュニケーションを確立することで、製品の信頼性向上につながるはずだ。

参考サイト

1. ^ CVE. 「CVE Record | CVE」. https://www.cve.org/CVERecord?id=CVE-2024-10502, (参照 24-11-08).

※上記コンテンツはAIで確認しておりますが、間違い等ある場合はコメントよりご連絡いただけますと幸いです。

「セキュリティ」に関するコラム一覧「セキュリティ」に関するニュース一覧