セキュリティ

SECURITY

公開：2025-01-16

【CVE-2024-50339】GLPIに認証なしセッション乗っ取りの脆弱性、バージョン10.0.17で修正パッチを提供

text: XEXEQ編集部
（記事は執筆時の情報に基づいており、現在では異なる場合があります）

記事の要約

• GLPIバージョン9.5.0以降10.0.17未満に認証なしセッション乗っ取りの脆弱性
• 認証されていないユーザーが全セッションIDを取得可能
• バージョン10.0.17で修正パッチを提供

GLPIのセッション乗っ取り脆弱性

フリーのIT資産管理ソフトウェアパッケージGLPIにおいて、認証されていないユーザーによるセッション乗っ取りの脆弱性が2024年12月11日に公開された。この脆弱性はCVE-2024-50339として識別されており、CVSS v4.0で9.3のクリティカルな深刻度に分類されている。^[1]

GLPIバージョン9.5.0以降10.0.17未満において、認証されていないユーザーが全てのセッションIDを取得し、有効なセッションを乗っ取ることが可能となっていた。この問題はGLPIプロジェクトによって認識され、バージョン10.0.17で修正パッチが提供されることとなった。

この脆弱性はCWE-79（クロスサイトスクリプティング）およびCWE-287（不適切な認証）に分類されており、攻撃者は特別な権限や条件なしで容易に攻撃を実行できる状態であった。GitHubのセキュリティアドバイザリによると、この問題の影響度は機密性と完全性において高く、可用性については低いとされている。

GLPIの脆弱性詳細

セッション乗っ取りについて

セッション乗っ取りとは、攻撃者が正規ユーザーのセッション情報を不正に取得して、そのユーザーになりすましてシステムにアクセスする攻撃手法のことを指す。主な特徴として、以下のような点が挙げられる。

• 正規ユーザーの権限でシステムにアクセス可能
• 認証プロセスをバイパスして不正アクセスを実現
• セッションIDの漏洩や推測により実行される

GLPIの脆弱性では、認証されていないユーザーが全てのセッションIDを取得できる状態となっており、任意のユーザーのセッションを乗っ取ることが可能であった。この種の脆弱性は深刻なセキュリティリスクとなり、情報漏洩や不正アクセスの原因となる可能性が極めて高い。

GLPIの脆弱性に関する考察

今回のGLPIの脆弱性は、IT資産管理という重要な機能を担うソフトウェアにおいて認証バイパスが可能となっていた点で非常に深刻である。特に認証されていないユーザーが全てのセッションIDを取得できる状態は、組織の機密情報や個人情報の漏洩につながる可能性が極めて高く、早急な対応が必要となっていた。

今後の課題として、セッション管理の強化やアクセス制御の見直しが重要となってくるだろう。特にセッションIDの生成方法や保護機能の改善、定期的なセッションの無効化など、多層的な防御策の実装が望まれる。また、認証機能の実装においては、外部の専門家によるセキュリティレビューを定期的に実施することも検討すべきである。

GLPIのセキュリティ強化に向けて、コミュニティ全体での脆弱性情報の共有や、セキュリティテストの強化が期待される。特にオープンソースソフトウェアとして、コミュニティによる積極的なセキュリティレビューやバグ報告の仕組みを整備することで、より堅牢なセキュリティ体制を構築できるだろう。

参考サイト

1. ^ CVE. 「CVE-2024-50339 | CVE」. https://www.cve.org/CVERecord?id=CVE-2024-50339, (参照 25-01-16).

※上記コンテンツはAIで確認しておりますが、間違い等ある場合はコメントよりご連絡いただけますと幸いです。

「セキュリティ」に関するコラム一覧「セキュリティ」に関するニュース一覧