CVE-2024-27790: FileMaker Server Vulnerability Patched, Data Access Risk Addressed
2024/04/30 SecurityOnline — 4月30日 (火) に Claris International は、FileMaker Server バージョン 20.3.2 をリリースして深刻な脆弱性に対応した。この脆弱性 CVE-2024-27790 の悪用に成功した攻撃者は、ホストされたデータベース内の機密データへの不正アクセスを可能にするという。
脆弱性の詳細
脆弱性 CVE-2024-27790 は、FileMaker Server 内の不適切なトランザクション検証に起因する。それを悪用する攻撃者は、閲覧/変更の権限がないはずのレコードに、不正にアクセスする可能性を持つ。
この脆弱性は、セキュリティ研究者であるの Alexey Dubov により発見され、Claris に報告された。
リスク対象者
FileMaker Server を用いて、機密情報を取り込んだデータベースをホストしている組織の場合には、パッチをインストールする前に危険な状況に陥っていた可能性がある。FileMaker ソフトウェアは、医療/金融/教育などの幅広い業界で使用されているため、この脆弱性の影響が広範囲に及ぶ可能性が生じている。
緊急パッチの推奨
すべての FileMaker Server 管理者に対して、Claris が強く求めているのは、可能な限り早急に、バージョン 20.3.2 をインストールすることである。また、FileMaker Pro Client も、脆弱性のあるサーバ/コンポーネントとのインタラクションがあるため、アップデートすることが推奨されている。
データの保護は迅速な行動から
データベースのセキュリティは不可欠である。FileMaker Server を使用している場合には、このパッチの適用を遅滞させてはならない。今後のアップデートに注意し、データベース管理のベストプラクティスを遵守することで、組織のデータを保護してほしい。
日本でも、数多くのユーザーを FileMaker の脆弱性なので、ちょっと心配です。ご利用のチームは、アップデートを、お急ぎください。この CVE-2024-27790 に対して CVSS 値を提供しているのは、現時点では VulDB しか見つかりませんでした。このサイトでは、CVSS:5.3 と評価していますが、お隣のキュレーション・チームによると、いつも低めの数値を出すとのことなので、ご注意ください。
IoT OT Security News 
You must be logged in to post a comment.