Critical Admidio Vulnerabilities CVE-2024-37906 and CVE-2024-38529 Revealed
2024/08/04 SecurityOnline — 世界中の組織やグループで使用されている人気の OSS ユーザー管理システム Admidio に存在する、2つの深刻なセキュリティ脆弱性 CVE-2024-37906/CVE-2024-38529 が、サイバー・セキュリティ研究者たちにより発見された。これらの脆弱性の悪用に成功した攻撃者は、機密データやシステムを侵害し、機密性/完全性/可用性を脅かす可能性を手にする。
CVE-2024-37906 (CVSS 10): ブラインド SQL インジェクション
1つ目の脆弱性 CVE-2024-37906 は、”ecard_send.php” ファイルに存在するブラインド SQL インジェクションの欠陥である。攻撃者が登録メンバーのケースでは、この脆弱性を悪用して基礎となるデータベースからのデータ流出が可能となり、ユーザー名/パスワード/個人情報などの機密情報が暴露される可能性が生じる。最悪のシナリオでは、攻撃者に対して、基礎となるシステム上でコマンド実行が許され、サーバの完全な制御権を奪われる可能もあるという。
CVE-2024-38529 (CVSS 9.1): 任意のファイルアップロードによるリモートコード実行
2つ目の脆弱性 CVE-2024-38529 は、メッセージ・モジュール内の任意のファイル・アップロードを介して、リモートコード実行 (RCE) を許す欠陥である。この脆弱性を悪用する攻撃者は、添付ファイルに見せかけた悪意の PHP ファイルをアップロードから侵害を始める。いったんアップロードされたファイルは一般に公開され、攻撃者は標的サーバ上で任意のコード実行が可能となり、Admidio システムの完全な乗っ取りにいたる恐れがある。
影響と緩和策
これらの脆弱性により、Admidio を使用し、機密情報を保管している組織に、大きな損害を生じる可能性がある。これらの攻撃が成功した場合には、以下のような影響が考えられる:
- データ漏洩および機密情報の盗難
- システムやネットワークへの不正アクセス
- サービスおよびオペレーションの中断
- 修復と復旧に伴う金銭的損失
Admidio を使用している、すべての組織にとって必要なことは、これらのリスクを軽減するために、早急に対策を講じることである。すでに Admidio の開発者は、両方の脆弱性に対処したパッチ・バージョン 4.3.10 をリリースしている。したがって、ユーザーに対して強く推奨されるのは、Admidio の最新バージョンへと迅速にアップデートすることだ。
このアップデートに加えて、組織として検討すべきことは、潜在的な攻撃から保護するための WAF や侵入検知システム (IDS) などの、追加のセキュリティ対策の導入である。
Admidio は、このブログでは初登場です。GitHub では、「Admidio は、Web サイト用の多用途なユーザー管理システムを、オープンソースとして提供することで、組織やグループを支援する。柔軟なロール モデルを備えた Admidio を使用することで、組織の構造と権限を正確に反映できる。プロファイル・フィールドへの追加/削除により、個々のメンバー・プロファイルを簡単に作成/カスタマイズできる」と紹介されていました。記事内の指摘と合わせて考えてみると、この Admidio の柔軟性に問題が生じたようです。ご利用のチームは、ご注意ください。
IoT OT Security News 
You must be logged in to post a comment.