セキュリティ

SECURITY

公開：2024-11-09

【CVE-2024-49370】Pimcore Portal Engineにパスワード平文保存の脆弱性、バージョン4.1.7と3.1.16で修正完了

text: XEXEQ編集部
（記事は執筆時の情報に基づいており、現在では異なる場合があります）

記事の要約

• Pimcore Portal Engineのパスワード平文保存の脆弱性が発見
• PimcoreUserとPortalUserObjectの連携で問題発生
• バージョン4.1.7と3.1.16で修正済み

Pimcore Portal Engine 4.1.7未満のパスワード平文保存の脆弱性

オープンソースのデータ管理プラットフォームPimcoreは、Portal Engineのバージョン4.1.7と3.1.16未満において重大な脆弱性【CVE-2024-49370】が発見されたことを公開した。PortalUserObjectとPimcoreUserを連携させ「Use Pimcore Backend Password」を有効にした状態でパスワードを変更すると、ハッシュ化されずに平文のまま保存される問題が存在している。^[1]

この脆弱性は、PortalUserObjectとPimcoreUserを連携させているすべてのユーザーに影響を及ぼす可能性がある。脆弱性の影響度を示すCVSSスコアは8.7と高く評価されており、攻撃に特別な権限や条件が不要であることから、早急な対応が求められる状況だ。

Pimcoreは本脆弱性に対応するため、Portal Engineのバージョン4.1.7と3.1.16をリリースし、パスワードの適切なハッシュ化処理を実装した。影響を受ける可能性のあるユーザーは、最新バージョンへのアップデートを行うことで、パスワードの安全な保存が可能になる。

Pimcoreの脆弱性対策まとめ

パスワードの平文保存について

パスワードの平文保存とは、ユーザーのパスワードをハッシュ化などの暗号化処理を行わずにそのまま保存することを指す。主な問題点として、以下のような点が挙げられる。

• データベース漏洩時にパスワードが直接読み取り可能
• 内部関係者による不正アクセスのリスク
• 他サービスでの同一パスワード使用時の被害拡大

Pimcore Portal Engineの脆弱性では、PortalUserObjectとPimcoreUserの連携時にパスワードが平文で保存される問題が存在した。一般的にパスワードは不可逆な暗号化アルゴリズムを用いてハッシュ化し保存することで、データ漏洩時のリスクを最小限に抑えることができる。

Pimcoreのセキュリティ対策に関する考察

Pimcoreのパスワード平文保存の問題は、システムの設計段階における重要なセキュリティチェックの欠如を示している。ユーザー認証システムの実装において、パスワードのハッシュ化は基本的な要件であり、このような脆弱性の発見は開発プロセスの見直しが必要であることを示唆している。早急な対応と修正版のリリースは評価できるが、今後は同様の問題を未然に防ぐための体制強化が求められるだろう。

今後のPimcoreの開発においては、セキュリティテストの強化とコードレビューの徹底が重要な課題となる。特にユーザー認証やパスワード管理などの重要な機能については、複数の目でチェックする体制を構築し、脆弱性の早期発見と対応を可能にする仕組みづくりが必要だ。セキュリティ専門家との連携も検討に値するだろう。

オープンソースプロジェクトとしてのPimcoreには、コミュニティからのフィードバックを活かしたセキュリティ強化が期待される。脆弱性報告プログラムの拡充やセキュリティガイドラインの整備など、より包括的なセキュリティ対策の実施が望まれる。今回の事例を教訓として、より堅牢なセキュリティ体制の確立を目指してほしい。

参考サイト

1. ^ CVE. 「CVE Record | CVE」. https://www.cve.org/CVERecord?id=CVE-2024-49370, (参照 24-11-09).

※上記コンテンツはAIで確認しておりますが、間違い等ある場合はコメントよりご連絡いただけますと幸いです。

「セキュリティ」に関するコラム一覧「セキュリティ」に関するニュース一覧