セキュリティ

SECURITY

公開：2025-04-12

【CVE-2025-3399】ESAFENET CDG 5.6.3にSQLインジェクションの脆弱性、リモート攻撃の可能性で深刻度が上昇

text: XEXEQ編集部
（記事は執筆時の情報に基づいており、現在では異なる場合があります）

記事の要約

• ESAFENET CDG 5.6.3に深刻なSQLインジェクションの脆弱性
• 脆弱性はリモートから悪用可能で公開済み
• ベンダーは連絡を受けるも未対応の状態が継続

ESAFENET CDG 5.6.3のSQLインジェクション脆弱性

2025年4月8日、ESAFENETのCDG 5.6.3.154.205_20250114において、深刻度が高いSQLインジェクションの脆弱性が発見されたことが公開された。この脆弱性は/pubinfo/updateNotice.jspファイルの機能に関連しており、IDパラメータの操作によってSQLインジェクション攻撃が可能となっている。^[1]

この脆弱性は既に一般に公開されており、リモートから攻撃を実行することが可能な状態となっているため、早急な対応が必要とされている。ESAFENETは事前に脆弱性について連絡を受けていたものの、現時点で対応や回答は行われていない状況が続いているのだ。

CVSSスコアは最新のバージョン4.0では6.9（MEDIUM）、バージョン3.1および3.0では7.3（HIGH）と評価されており、攻撃者は特別な権限や条件なしに攻撃を実行できる可能性がある。CWEでは「SQL Injection」（CWE-89）および「Injection」（CWE-74）に分類されている。

ESAFENET CDG 5.6.3の脆弱性詳細

SQLインジェクションについて

SQLインジェクションとは、Webアプリケーションにおける代表的な脆弱性の一つで、攻撃者が悪意のあるSQLクエリを注入することでデータベースを不正に操作する攻撃手法のことを指す。主な特徴として、以下のような点が挙げられる。

• データベースの内容を不正に読み取ることが可能
• データベースの内容を改ざんや削除することが可能
• 認証をバイパスして不正アクセスを行うことが可能

SQLインジェクションはWebアプリケーションのセキュリティ上最も重大な脆弱性の一つとされており、OWASP Top 10にも常にランクインしている深刻な問題である。今回のESAFENET CDGの脆弱性も、IDパラメータを通じてSQLインジェクション攻撃が可能となっており、早急な対策が必要とされている。

ESAFENET CDGの脆弱性に関する考察

ESAFENET CDGの脆弱性は、リモートから攻撃可能でありながらベンダーの対応が行われていない状況が最も深刻な問題点として挙げられる。特にSQLインジェクションの脆弱性は、データベース全体に影響を与える可能性があり、情報漏洩や改ざんのリスクが非常に高い状態が続いているのだ。

今後想定される問題として、この脆弱性が既に公開されている状態であることから、悪意のある攻撃者による積極的な攻撃の増加が懸念される。対策としては、WAFの導入やIDパラメータに対する入力値のバリデーション強化、セキュアコーディングの徹底などが考えられるが、根本的な解決にはベンダーによるパッチの提供が不可欠だろう。

長期的な視点では、このような脆弱性の発生を防ぐため、開発段階からのセキュリティレビューの強化やOSSコミュニティとの連携強化が重要となる。ESAFENETには、脆弱性報告への迅速な対応体制の構築と、セキュリティ意識の向上が強く求められている。

参考サイト

1. ^ CVE. 「CVE: Common Vulnerabilities and Exposures」. https://www.cve.org/CVERecord?id=CVE-2025-3399, (参照 25-04-12).
1820

※上記コンテンツはAIで確認しておりますが、間違い等ある場合はコメントよりご連絡いただけますと幸いです。

「セキュリティ」に関するコラム一覧「セキュリティ」に関するニュース一覧