セキュリティ

SECURITY

公開：2024-12-12

【CVE-2024-46907】WhatsUp Gold 2024.0.1より前のバージョンにSQLインジェクションの脆弱性、管理者権限取得のリスクに

text: XEXEQ編集部
（記事は執筆時の情報に基づいており、現在では異なる場合があります）

記事の要約

• WhatsUp GoldにSQLインジェクションの脆弱性が発見
• 低権限ユーザーが管理者権限を取得する可能性
• 2024.0.1より前のバージョンが対象

WhatsUp Gold 2024.0.1より前のバージョンにSQLインジェクションの脆弱性

Progress Software CorporationはWhatsUp Goldにおいて、SQLインジェクションによる特権昇格の脆弱性が発見されたことを2024年12月2日に公開した。CVE-2024-46907として識別されたこの脆弱性は、レポートビューワー以上の権限を持つ認証済み低権限ユーザーが管理者アカウントへの特権昇格を可能にするものである。^[1]

この脆弱性はWhatsUp Gold 2023.1.0から2024.0.1より前のバージョンに影響を及ぼすことが判明している。CVSSスコアは8.8（High）と評価され、攻撃元区分はネットワークであり、攻撃条件の複雑さは低いとされており、攻撃には低い権限が必要だが、ユーザーの関与は不要と判断された。

脆弱性の発見はTrend Micro Zero Day InitiativeのSummoning TeamのSina Kheirkhahによって行われた。Progress Software Corporationは脆弱性の修正を含むWhatsUp Gold 2024.0.1をリリースし、影響を受けるユーザーには速やかなアップデートを推奨している。

WhatsUp Gold脆弱性の詳細

セキュリティ情報の詳細はこちら

SQLインジェクションについて

SQLインジェクションとは、Webアプリケーションのセキュリティ上の脆弱性を悪用し、データベースに不正なSQLコマンドを実行する攻撃手法のことを指す。主な特徴として、以下のような点が挙げられる。

• データベースの情報を不正に取得・改ざん・削除が可能
• 認証をバイパスし不正アクセスを実現
• 特権昇格による管理者権限の取得が可能

WhatsUp GoldのGetFilterCriteriaにおけるSQLインジェクション脆弱性は、低権限ユーザーが管理者アカウントの権限を取得できる深刻な問題となっている。Progress Software Corporationが提供する修正パッチを適用することで、SQLインジェクションを利用した特権昇格の脅威から保護することが可能である。

WhatsUp Gold脆弱性に関する考察

WhatsUp Goldの脆弱性は、ネットワーク監視ツールとしての重要性から、組織のセキュリティに深刻な影響を及ぼす可能性がある。特に低権限ユーザーから管理者権限への昇格が可能という点は、内部からの不正アクセスのリスクを高める要因となることが懸念される。早急なパッチ適用と、アクセス権限の見直しが必要だろう。

今後は同様の脆弱性を防ぐため、SQLクエリの実行前にユーザー入力の厳密な検証とサニタイズ処理の実装が求められる。また、特権昇格を防ぐための多層的な認証システムや、アクセス制御の強化も重要な課題となるだろう。

監視ツールそのものの脆弱性は、組織全体のセキュリティを脅かす可能性が高い。Progress Software Corporationには、定期的なセキュリティ監査の実施や、脆弱性報告プログラムの強化を通じて、製品のセキュリティ品質の向上が期待される。

参考サイト

1. ^ CVE. 「CVE-2024-46907 | CVE」. https://www.cve.org/CVERecord?id=CVE-2024-46907, (参照 24-12-12).

※上記コンテンツはAIで確認しておりますが、間違い等ある場合はコメントよりご連絡いただけますと幸いです。

「セキュリティ」に関するコラム一覧「セキュリティ」に関するニュース一覧