セキュリティ

SECURITY

公開：2024-11-22

【CVE-2024-45608】GLPIに認証済みユーザーによるSQL injection脆弱性、バージョン10.0.17で対策を実施

text: XEXEQ編集部
（記事は執筆時の情報に基づいており、現在では異なる場合があります）

記事の要約

• GLPIで認証済みユーザーによるSQL injectionの脆弱性が発見
• バージョン10.0.17へのアップグレードで対策が可能
• 脆弱性はユーザー設定の変更時に発生する可能性

GLPIバージョン10.0.17未満のSQL injection脆弱性

GitHubは2024年11月15日、資産およびIT管理ソフトウェアパッケージGLPIにおいてSQL injectionの脆弱性【CVE-2024-45608】を公開した。この脆弱性は認証済みユーザーが設定を変更する際に発生する可能性があり、GLPIプロジェクトはバージョン10.0.17へのアップグレードを推奨している。^[1]

本脆弱性のCVSS v3.1基本値は6.5（Medium）であり、攻撃元区分はネットワーク経由で攻撃条件の複雑さは低いとされている。特権レベルは低く必要で、ユーザーインタラクションは不要だが、スコープの変更はなく機密性への影響は高いとされている。

影響を受けるバージョンは9.5.0以上10.0.17未満のGLPIであり、SSVCによる評価では脅威の悪用可能性は「none」、自動化可能性は「no」、技術的影響は「partial」とされている。セキュリティ管理者は早急なアップデートの実施が推奨される。

GLPIの脆弱性詳細

脆弱性の詳細はこちら

SQL injectionについて

SQL injectionとは、Webアプリケーションなどで発生する脆弱性の一種で、悪意のあるSQLクエリを実行できる状態のことを指す。主な特徴として、以下のような点が挙げられる。

• データベースの不正な操作が可能になる
• 機密情報の漏洩リスクが高まる
• データの改ざんや削除が可能になる

今回のGLPIの脆弱性では、認証済みユーザーが設定を変更する際にSQL injectionが可能な状態となっていることが判明した。CVSSスコアは6.5（Medium）と評価されており、機密性への影響が高いことから、早急な対応が必要とされている。

GLPIの脆弱性に関する考察

GLPIの認証済みユーザーによるSQL injection脆弱性は、システム管理における重要な警鐘となっている。認証済みユーザーによる攻撃は内部からの脅威となるため、通常の対策では防ぎきれない可能性が高く、特に注意が必要となっているのだ。

今後は特権アカウントの管理やアクセス権限の見直しなど、より厳密なセキュリティ対策が求められるだろう。GLPIの開発チームには、コードレビューの強化やセキュリティテストの拡充など、開発プロセスの見直しも検討する必要がある。

また、IT資産管理ツールはセキュリティの要となるため、脆弱性対策は常に最優先で行われるべきだ。GLPIプロジェクトには、セキュリティアップデートの提供頻度を上げることや、自動アップデート機能の実装なども検討してほしい。

参考サイト

1. ^ CVE. 「CVE Record | CVE」. https://www.cve.org/CVERecord?id=CVE-2024-45608, (参照 24-11-22).

※上記コンテンツはAIで確認しておりますが、間違い等ある場合はコメントよりご連絡いただけますと幸いです。

「セキュリティ」に関するコラム一覧「セキュリティ」に関するニュース一覧