セキュリティ

SECURITY

公開：2025-04-16

【CVE-2025-22953】Epicor HCM 2021に深刻なSQLインジェクション脆弱性、早急なパッチ適用が必要に

text: XEXEQ編集部
（記事は執筆時の情報に基づいており、現在では異なる場合があります）

記事の要約

• Epicor HCM 2021 1.9にSQLインジェクションの脆弱性が発見
• 脆弱性はJsonFetcher.svcエンドポイントのfilterパラメータに存在
• HCM2022/2023/2024向けのセキュリティパッチが公開

Epicor HCM 2021のSQLインジェクション脆弱性

MITREは2025年3月28日、Epicor HCM 2021 1.9に深刻なSQLインジェクション脆弱性が存在することを公開した。この脆弱性はCVE-2025-22953として識別されており、JsonFetcher.svcエンドポイントのfilterパラメータに存在することが明らかになっている。^[1]

この脆弱性を悪用することで、攻撃者は悪意のあるSQLペイロードを注入し、バックエンドデータベースで任意のSQLコマンドを実行することが可能となる。特にxp_cmdshellなどの特定機能が有効化されている環境では、リモートでコードを実行される危険性も指摘されているのだ。

この問題に対処するため、Epicorは複数のバージョン向けにセキュリティパッチを提供している。対象となるのはHCM2022向けの5.16.0.1033、HCM2023向けの5.17.0.1146、そしてHCM2024向けの5.18.0.573となっており、早急なアップデートが推奨されている。

Epicor HCM脆弱性の詳細情報

SQLインジェクションについて

SQLインジェクションとは、Webアプリケーションに対する攻撃手法の一つで、データベースに不正なSQLクエリを挿入して実行する攻撃のことを指す。主な特徴として、以下のような点が挙げられる。

• 入力値の検証が不十分な場合に発生する脆弱性
• データベースの改ざんや情報漏洩につながる危険性
• 適切な入力値のサニタイズによって防止可能

CVE-2025-22953の場合、JsonFetcher.svcエンドポイントのfilterパラメータでSQLインジェクションが可能となっており、攻撃者がバックエンドデータベースで任意のSQLコマンドを実行できる状態にある。特にxp_cmdshellが有効な環境では、リモートコード実行につながる可能性があるため、早急な対応が必要とされている。

Epicor HCMの脆弱性に関する考察

Epicor HCMの脆弱性が深刻度9.8と評価された背景には、認証なしでリモートから攻撃可能という特性がある。この種の脆弱性は企業の人事データを扱うHRMシステムにとって特に危険であり、従業員の個人情報や給与データなどの機密情報が漏洩するリスクが極めて高い状況だ。

今後の課題として、同様の脆弱性を防ぐためのセキュリティテストの強化が必要となるだろう。特にAPIエンドポイントのパラメータ処理については、入力値のバリデーションやサニタイズ処理の徹底が求められており、継続的なセキュリティ監査の実施も重要となる。

HRMシステムのセキュリティ強化には、多層的な防御アプローチが不可欠となっている。WAFの導入やデータベースアクセスの厳格な制御、定期的な脆弱性診断の実施など、包括的なセキュリティ対策の実装が望まれる。

参考サイト

1. ^ CVE. 「CVE Record: CVE-2025-22953」. https://www.cve.org/CVERecord?id=CVE-2025-22953, (参照 25-04-16).
1542

※上記コンテンツはAIで確認しておりますが、間違い等ある場合はコメントよりご連絡いただけますと幸いです。

「セキュリティ」に関するコラム一覧「セキュリティ」に関するニュース一覧