セキュリティ

SECURITY

公開：2025-04-16

【CVE-2025-3400】ESAFENET CDG 5.6.3でSQL injection脆弱性、ベンダー未対応で危険な状態が継続

text: XEXEQ編集部
（記事は執筆時の情報に基づいており、現在では異なる場合があります）

記事の要約

• ESAFENET CDG 5.6.3に重大なSQL injection脆弱性
• UnChkMailApplication.jspのtypename引数が影響
• ベンダーは脆弱性報告に未対応の状態

ESAFENET CDG 5.6.3のSQL injection脆弱性

ESAFENETは2025年4月8日、同社のCDG 5.6.3.154.205_20250114において重大な脆弱性が発見されたことを公開した。この脆弱性は/client/UnChkMailApplication.jspファイルのtypename引数に関連するSQL injectionの問題であり、リモートから攻撃を仕掛けることが可能となっている。脆弱性の詳細は既に公開されており、実際の攻撃に利用される可能性が高い状況だ。^[1]

この脆弱性はCVSS 4.0で6.9(MEDIUM)、CVSS 3.1とCVSS 3.0で7.3(HIGH)、CVSS 2.0で7.5と評価されており、深刻度が高いことが示されている。脆弱性の種類はCWE-89のSQL InjectionとCWE-74のInjectionに分類され、データベースへの不正なアクセスやコマンドの実行が可能となる危険性がある。

特に懸念されるのは、ベンダーがこの脆弱性報告に対して何の対応も行っていない点である。脆弱性の発見者であるXU NIEによる早期の報告にもかかわらず、現時点でパッチの提供や対策情報の公開は行われていない状況が続いている。

ESAFENET CDG 5.6.3の脆弱性詳細

SQL injectionについて

SQL injectionとは、Webアプリケーションのデータベース操作において、不正なSQLコマンドを挿入・実行できる脆弱性のことを指す。主な特徴として、以下のような点が挙げられる。

• 入力値の検証が不十分な場合に発生する深刻な脆弱性
• データベースの改ざんや情報漏洩のリスクが高い
• 適切な入力値のサニタイズによって防止可能

ESAFENET CDG 5.6.3で発見されたSQL injection脆弱性は、UnChkMailApplication.jspのtypename引数を介して攻撃が可能となっている。この脆弱性は認証なしでリモートから攻撃できる状態であり、データベースの改ざんや情報漏洩のリスクが極めて高い状況となっている。

ESAFENET CDG脆弱性に関する考察

ESAFENET CDGの脆弱性対応における最大の問題は、ベンダーの対応の遅れである。脆弱性が公開され、攻撃コードも利用可能な状態にもかかわらず、修正パッチの提供や対策情報の公開が行われていないことは、ユーザーのセキュリティリスクを著しく高めている。早急なセキュリティアップデートの提供と、明確な対応方針の公表が求められる。

今後の対策として、一時的な回避策の提供や脆弱性のある機能の一時的な無効化など、ユーザーが自身でリスクを軽減できる方法の提示が重要となるだろう。また、同様の脆弱性を防ぐため、開発プロセスにおけるセキュリティレビューの強化や、定期的な脆弱性診断の実施も必要となる。

ESAFENETには今回の事例を教訓として、脆弱性報告への迅速な対応体制の構築や、セキュリティインシデント発生時の情報公開プロセスの整備が求められる。特に重要なのは、製品のセキュリティライフサイクル管理の強化と、ユーザーとの円滑なコミュニケーション体制の確立だ。

参考サイト

1. ^ CVE. 「CVE: Common Vulnerabilities and Exposures」. https://www.cve.org/CVERecord?id=CVE-2025-3400, (参照 25-04-16).
1833

※上記コンテンツはAIで確認しておりますが、間違い等ある場合はコメントよりご連絡いただけますと幸いです。

「セキュリティ」に関するコラム一覧「セキュリティ」に関するニュース一覧