セキュリティ

SECURITY

公開：2024-11-22

【CVE-2024-40638】GLPIにSQLインジェクションの脆弱性、アカウント乗っ取りのリスクで緊急アップデートが必要に

text: XEXEQ編集部
（記事は執筆時の情報に基づいており、現在では異なる場合があります）

記事の要約

• GLPIにSQLインジェクションの脆弱性を発見
• 認証済みユーザーが他のアカウントを乗っ取り可能
• GLPI 10.0.17へのアップグレードで対応

GLPIのアカウント乗っ取りを可能にする脆弱性

無料のIT資産管理ソフトウェアパッケージGLPIにおいて、複数のSQLインジェクション脆弱性が2024年11月15日に報告された。認証済みユーザーがこの脆弱性を悪用することで他のユーザーアカウントのデータを改変し制御を奪取することが可能となっている。^[1]

この脆弱性は【CVE-2024-40638】として識別されており、CVSSスコアは8.1と高い深刻度を示している。攻撃元区分はネットワークであり、攻撃条件の複雑さは低く、特権レベルは低いが利用者の関与は不要とされている。

GLPIの開発チームは脆弱性への対応策としてバージョン10.0.17をリリースした。影響を受けるバージョンは0.85から10.0.17未満のすべてのバージョンとなっており、ユーザーには早急なアップデートが推奨されている。

GLPIの脆弱性詳細

SQLインジェクションについて

SQLインジェクションとは、Webアプリケーションのセキュリティ上の脆弱性を悪用し、データベースに不正なSQLコマンドを実行させる攻撃手法のことである。主な特徴として、以下のような点が挙げられる。

• データベースの内容を不正に読み取り可能
• データベースの内容を改ざん可能
• 認証をバイパスし不正アクセスが可能

GLPIの脆弱性では、AJAXスクリプト内のSQLインジェクションを利用することで、認証済みユーザーが他のユーザーアカウントのデータを改変できる状態となっていた。この脆弱性は複数のSQLインジェクションポイントが存在しており、その中の1つがアカウントの乗っ取りに悪用可能な状態であることが判明している。

GLPIの脆弱性に関する考察

GLPIの脆弱性が認証済みユーザーによって悪用可能である点は、内部犯行のリスクを高める要因として懸念される。特に企業や組織での利用においては、権限を持つユーザーが他のアカウントを乗っ取ることで、機密情報の漏洩や不正アクセスのリスクが著しく高まることが予想される。

今後は認証済みユーザーによる不正操作を防ぐため、アクセスログの詳細な監視や権限の細分化などの対策が必要となるだろう。また、SQLインジェクション対策として、入力値のバリデーションやプリペアドステートメントの使用など、より堅牢なセキュリティ実装が求められる。

リリースされたGLPI 10.0.17では、この脆弱性が修正されているものの、類似の脆弱性が今後も発見される可能性は否定できない。継続的なセキュリティ監査とアップデートの迅速な適用が重要となるだろう。

参考サイト

1. ^ CVE. 「CVE Record | CVE」. https://www.cve.org/CVERecord?id=CVE-2024-40638, (参照 24-11-22).

※上記コンテンツはAIで確認しておりますが、間違い等ある場合はコメントよりご連絡いただけますと幸いです。

「セキュリティ」に関するコラム一覧「セキュリティ」に関するニュース一覧