セキュリティ

SECURITY

公開：2024-11-22

【CVE-2024-41679】GLPIチケットフォームにSQLインジェクションの脆弱性、バージョン10.0.17で対策完了

text: XEXEQ編集部
（記事は執筆時の情報に基づいており、現在では異なる場合があります）

記事の要約

• GLPIのチケットフォームにSQLインジェクションの脆弱性
• 認証済みユーザーが攻撃可能な状態
• GLPIバージョン10.0.17へのアップグレードで対応

GLPIのチケットフォームにおけるSQLインジェクション脆弱性

資産およびIT管理ソフトウェアパッケージGLPIにおいて、チケットフォームに認証済みユーザーが悪用可能なSQLインジェクションの脆弱性が発見された。この脆弱性は【CVE-2024-41679】として識別されており、GLPIバージョン10.0.0から10.0.17未満のバージョンで影響を受けることが確認されている。^[1]

CVSSスコアは6.5（Medium）を記録しており、攻撃元区分はネットワーク経由で攻撃が可能だと評価されている。また、攻撃の実行には低い特権レベルが必要とされており、ユーザーの操作は不要とされるが、影響範囲は限定的であることが報告されている。

GLPIの開発チームは本脆弱性に対する修正をバージョン10.0.17にて実施している。セキュリティ研究者による評価では、本脆弱性の技術的影響は部分的であり、自動化された攻撃は観測されていないことが報告されている。

GLPIバージョン10.0.17の脆弱性対策まとめ

GLPIの脆弱性情報の詳細はこちら

SQLインジェクションについて

SQLインジェクションとは、Webアプリケーションのデータベースに対して悪意のあるSQLコマンドを注入する攻撃手法のことを指す。主な特徴として、以下のような点が挙げられる。

• データベースの不正アクセスや改ざんが可能
• 認証バイパスや権限昇格に悪用される可能性
• 機密情報の漏洩やデータ破壊のリスクがある

GLPIのチケットフォームで発見されたSQLインジェクションの脆弱性は、認証済みユーザーによって悪用される可能性があることが確認されている。CVSSスコア6.5が示すように、攻撃の実行には低い特権レベルで十分であり、ユーザーの操作を必要としないことから、早急な対策が推奨される。

GLPIのSQLインジェクション脆弱性に関する考察

GLPIのチケットフォームにおけるSQLインジェクション脆弱性は、認証済みユーザーによる攻撃が可能という点で、内部からの脅威に対する対策の重要性を示している。バージョン10.0.17へのアップグレードという明確な対策が提示されている点は評価できるが、今後は同様の脆弱性を事前に検出できる仕組みの構築が求められるだろう。

データベースセキュリティの観点からは、入力値の検証やプリペアドステートメントの使用といった基本的な対策の徹底が不可欠となる。また、定期的なセキュリティ監査や脆弱性診断の実施により、新たな脆弱性の早期発見と対応が必要になってくるはずだ。

今後のGLPIの開発においては、セキュリティバイデザインの考え方を強化し、コードレビューやセキュリティテストの充実が期待される。特にチケットシステムは顧客情報を扱う重要な機能であるため、より強固なセキュリティ対策の実装が望まれるだろう。

参考サイト

1. ^ CVE. 「CVE Record | CVE」. https://www.cve.org/CVERecord?id=CVE-2024-41679, (参照 24-11-22).

※上記コンテンツはAIで確認しておりますが、間違い等ある場合はコメントよりご連絡いただけますと幸いです。

「セキュリティ」に関するコラム一覧「セキュリティ」に関するニュース一覧