【CVE-2024-10749】ThinkAdmin 6.1.67にデシリアリゼーションの脆弱性、リモート攻撃の可能性で対応急ぐ

text: XEXEQ編集部
（記事は執筆時の情報に基づいており、現在では異なる場合があります）

記事の要約

ThinkAdmin 6.1.67以前にデシリアリゼーションの脆弱性
Plugs.phpのscript関数でuptokenの不正操作が可能
リモートからの攻撃の可能性があり早急な対応が必要

ThinkAdmin 6.1.67の深刻な脆弱性

2024年11月4日、ThinkAdmin 6.1.67以前のバージョンにおいて重大な脆弱性が発見され公開された。脆弱性は/app/admin/controller/api/Plugs.phpファイル内のscript関数に存在しており、uptokenの引数操作によってデシリアリゼーション攻撃が可能となる深刻な問題が発覚している。^[1]

攻撃の実行にはある程度の技術的な知識が必要となるものの、リモートからの攻撃が可能であることから被害が拡大する可能性が非常に高くなっている。ベンダーに対して早期の情報開示が行われたものの、現時点で対応や返答は行われていない状況だ。

この脆弱性は【CVE-2024-10749】として識別されており、CVSS 4.0では2.3（LOW）、CVSS 3.1では5.0（MEDIUM）と評価されている。攻撃には特権レベルは必要なものの、ユーザーの介入なしで実行可能であり、機密性・整合性・可用性のすべてに影響を及ぼす可能性があるだろう。

ThinkAdmin 6.1.67の脆弱性詳細

項目	詳細
影響を受けるバージョン	ThinkAdmin 6.1.0から6.1.67
脆弱性の種類	デシリアリゼーション（CWE-502）
影響を受けるファイル	/app/admin/controller/api/Plugs.php
攻撃の難易度	高（特権レベル要・ユーザー介入不要）
CVSSスコア	CVSS 4.0: 2.3（LOW）、CVSS 3.1: 5.0（MEDIUM）
影響範囲	機密性・整合性・可用性に影響

デシリアリゼーションについて

デシリアリゼーションとは、シリアル化されたデータを元のオブジェクトに復元するプロセスのことを指す。主な特徴として、以下のような点が挙げられる。

バイトストリームやテキストからオブジェクトを再構築
データの永続化や転送に不可欠な技術
不適切な実装により深刻な脆弱性の原因に

ThinkAdminの脆弱性では、Plugs.phpのscript関数内でuptokenの引数に対するデシリアリゼーション処理が適切に実装されていないことが問題となっている。リモートからの攻撃者が悪意のあるデータを送信することで、サーバー上で意図しないコードが実行される可能性があり、早急な対応が必要な状況だ。

ThinkAdmin 6.1.67の脆弱性に関する考察

ThinkAdmin 6.1.67以前のバージョンにおけるデシリアリゼーションの脆弱性は、Webアプリケーションのセキュリティ設計における重要な課題を浮き彫りにしている。特にユーザー入力データの検証と無害化が不十分な場合、リモートからの攻撃によって深刻な被害が発生する可能性が高まることを示している。早期の脆弱性情報開示にもかかわらずベンダーの対応が遅れている点も、セキュリティインシデント対応の重要性を再認識させるだろう。

今後はPHP開発におけるデシリアリゼーション処理の安全性向上が求められることは確実である。開発者はデータの検証とサニタイズに加え、オブジェクトの復元時にも適切なセキュリティチェックを実装することが重要だ。ベンダーには迅速なパッチ提供と脆弱性情報の透明性確保が望まれるだろう。

また、CVSS 4.0とCVSS 3.1でスコアに差が出ている点は、脆弱性評価基準の進化を示している。新しい評価方法では攻撃の実現可能性や影響範囲をより詳細に分析できるようになっており、セキュリティ対策の優先順位付けがより正確になることが期待できる。今後も評価基準の改善と普及が進むことだろう。