セキュリティ

SECURITY

公開：2025-03-08

【CVE-2025-23024】GLPIバージョン10.0.18未満に深刻な脆弱性、匿名ユーザーによるプラグイン無効化の危険性が発覚

text: XEXEQ編集部
（記事は執筆時の情報に基づいており、現在では異なる場合があります）

記事の要約

• GLPIのバージョン10.0.18未満に脆弱性が発見
• 匿名ユーザーによる全プラグインの無効化が可能に
• バージョン10.0.18で修正パッチがリリース

GLPIバージョン10.0.18未満の脆弱性に関する警告

資産およびIT管理ソフトウェアパッケージのGLPIにおいて、バージョン0.72から10.0.18未満に重大な脆弱性が発見されたことが2025年2月25日に公開された。この脆弱性により、匿名ユーザーが管理者権限なしで全てのアクティブなプラグインを無効化できる状態となっていることが判明している。^[1]

この脆弱性は認可に関する不適切な実装に起因しており、CVSSスコアは6.9（MEDIUM）と評価されている。攻撃者は特別な権限や認証を必要とせずにシステムにアクセスできる状態で、可用性に対して部分的な影響を及ぼす可能性が指摘されているのだ。

GLPIの開発チームは既にこの問題に対処するパッチをバージョン10.0.18でリリースしており、早急なアップデートを推奨している。また暫定的な回避策として、install/update.phpファイルを削除することで脆弱性の影響を軽減できることが確認されている。

GLPIバージョン10.0.18未満の脆弱性の詳細

不適切な認可について

不適切な認可とは、システムやアプリケーションにおいて、ユーザーの権限を適切に制御できていない状態を指す。主な特徴として、以下のような点が挙げられる。

• 権限チェックの欠如や不十分な実装による認可制御の不備
• 認証済みユーザーの権限範囲を超えた操作の許可
• 重要な機能やリソースへの不正アクセスの可能性

GLPIの事例では、匿名ユーザーによるプラグインの無効化という管理者権限に相当する操作が可能となっていた。このような脆弱性は、システムの可用性や完全性に重大な影響を及ぼす可能性があるため、早急な対応が必要とされている。

GLPIの脆弱性に関する考察

GLPIの脆弱性が長期間にわたって存在していたことは、オープンソースソフトウェアにおけるセキュリティレビューの重要性を再認識させる結果となった。特にバージョン0.72という古いバージョンから存在していた問題が、今回になって発見されたという事実は、レガシーコードの継続的な監査の必要性を示唆している。

この脆弱性の影響は、プラグインの無効化という点で限定的ではあるものの、業務システムの運用に支障をきたす可能性がある。GLPIの利用者は早急なアップデートが推奨されるが、システムの規模や複雑さによってはアップデートに時間を要する可能性もあるため、一時的な対処としてinstall/update.phpファイルの削除を検討する必要があるだろう。

今後は、権限管理に関する設計段階でのセキュリティレビューの強化が求められる。特にプラグイン管理といった重要な機能については、認証・認可の仕組みを慎重に実装し、定期的なセキュリティ監査を実施することで、同様の問題の再発を防ぐことが重要だ。

参考サイト

1. ^ CVE. 「CVE: Common Vulnerabilities and Exposures」. https://www.cve.org/CVERecord?id=CVE-2025-23024, (参照 25-03-08).

※上記コンテンツはAIで確認しておりますが、間違い等ある場合はコメントよりご連絡いただけますと幸いです。

「セキュリティ」に関するコラム一覧「セキュリティ」に関するニュース一覧