【CVE-2024-10502】ESAFENET CDG 5にSQL injection脆弱性が発見、ベンダーの対応に課題

text: XEXEQ編集部
（記事は執筆時の情報に基づいており、現在では異なる場合があります）

記事の要約

ESAFENET CDG 5にSQL injection脆弱性が発見される
getOneFileDirectory関数でSQL injectionが可能に
ベンダーは脆弱性の報告に対して未対応のまま

ESAFENET CDG 5のSQL injection脆弱性

ESA FENET社のESAFENET CDG 5において、重大な脆弱性が2024年10月30日に公開された。FileDirectoryService.javaのgetOneFileDirectory関数においてdirectoryId引数を操作することでSQL injectionが可能となり、リモートから攻撃を実行できる状態となっている。^[1]

この脆弱性はCVSS 4.0で5.3（Medium）、CVSS 3.1とCVSS 3.0で6.3（Medium）、CVSS 2.0で6.5という評価を受けており、重大な影響を及ぼす可能性がある。脆弱性の詳細が公開された後もベンダーからの対応がないため、早急な対策が求められる状況だ。

攻撃者は特別な権限を必要とせずにリモートから攻撃を実行できるため、影響を受けるシステムは深刻なリスクにさらされている。脆弱性の情報は既に公開されており、攻撃者による悪用の可能性が高まっているため、システム管理者は早急なセキュリティ対策の実施が必要となるだろう。

ESAFENET CDG 5脆弱性の詳細まとめ

項目	詳細
影響を受けるバージョン	ESAFENET CDG 5
脆弱性の種類	SQL injection（CWE-89）
CVSS評価	CVSS 4.0: 5.3（Medium）
攻撃の前提条件	リモートからの攻撃が可能、特別な権限不要
影響範囲	機密性・整合性・可用性に対する低レベルの影響

SQL injectionについて

SQL injectionとは、Webアプリケーションのデータベースに対して悪意のあるSQLコードを挿入し、不正な操作を行う攻撃手法のことを指す。主な特徴として、以下のような点が挙げられる。

データベースの改ざんや情報漏洩を引き起こす可能性がある
入力値の検証が不十分な場合に発生しやすい
適切なパラメータ化クエリの使用で防止可能

ESAFENET CDG 5で発見された脆弱性は、FileDirectoryService.javaのgetOneFileDirectory関数においてdirectoryId引数の入力値の検証が不十分であることが原因となっている。攻撃者はこの脆弱性を悪用してデータベースに不正なSQLコードを挿入し、データの改ざんや情報の窃取を行う可能性があるため、早急な対策が必要だ。

ESAFENET CDG 5の脆弱性に関する考察

ESAFENET CDG 5の脆弱性は、基本的なセキュリティ対策であるSQL injection対策が実装されていない点が大きな問題となっている。入力値のバリデーションやプリペアドステートメントの使用など、一般的なセキュリティ対策を実装することで防げた可能性が高く、開発プロセスにおけるセキュリティレビューの重要性を再認識させられる結果となった。

特に懸念されるのは、ベンダーが脆弱性の報告に対して適切な対応を行っていない点である。脆弱性情報が公開された後も修正プログラムが提供されていないことから、ユーザー側で独自の対策を講じる必要が出てきており、システム管理者の負担が増大することが予想されるだろう。

今後はベンダーによる迅速な脆弱性対応体制の構築が期待される。セキュリティインシデントの報告から修正プログラムの提供までのプロセスを明確化し、ユーザーとの適切なコミュニケーションを確立することで、製品の信頼性向上につながるはずだ。