CVE-2024-56511: Critical Authentication Bypass Vulnerability in DataEase
2025/01/13 SecurityOnline — DataEase プロジェクトが発表したのは、人気の OSS BI (Business Intelligence) ツールに影響を及ぼす深刻な脆弱性 CVE-2024-56511 (CVSSv4:9.3) に関する緊急アドバイザリである。この脆弱性の悪用に成功した攻撃者は、認証メカニズムをバイパスして機密データへの不正アクセスを可能にするという。
DataEase は広範に利用される BI ツールであり、実用的なデータの分析や洞察をユーザーに提供している。運用の最適化を目指す組織により、ドラッグ&ドロップ/多様なデータソース/シームレスなチャート共有機能などが評価されている。
この脆弱性は DataEase の “io.dataease.auth.filter.TokenFilter” クラスに存在し、認証プロセスでの不適切な URL フィルタリングを介して、攻撃者たちにセキュリティ・バイパスを許してしまう。プロジェクトのアドバイザリには、「io.dataease.auth.filter.TokenFilter クラスの認証に欠陥により、セキュリティ・バイパスを許し、不正アクセスのリスクを引き起こす可能性がある」と記されている。
この脆弱性は、TokenFilter クラスにおける、リクエスト URL の処理方法に起因する。具体的に言うと、WhitelistUtils.match メソッドによりセミコロンがフィルタリングされ、URL に対する認証の必要性が判断される。ただし、デプロイメントにおいてユーザーがカスタム server.servlet.context-path を構成すると、このメカニズムの回避が可能になる。以下の例を参照して欲しい:
- http://127.0.0.1:8100/demo/de2api/user/info へのダイレクトなアクセス。
トークン検証の失敗を示す 500 エラーが発生する。 - http://127.0.0.1:8100/geo/../demo/de2api/user/info への変更。
リクエストは認証をバイパスし、機密情報への不正アクセスが許可される。
脆弱性 CVE-2024-56511 が影響を及ぼす範囲は、DataEase バージョン ≤ 2.10.3 である。また、悪用に成功した攻撃者は、保護されるリソースへのアクセスを達成し、データ漏洩やビジネス停止などを引き起こす可能性を手にする。
すでに DataEase チームは、バージョン 2.10.4 をリリースし、この深刻な欠陥に対処している。ユーザーに対して強く推奨されるのは、このバージョンにアップグレードを行い、システムのセキュリティを確保することだ。
DataEase に存在する、認証バイパスの脆弱性が FIX しました。ご利用のチームは、ご注意ください。このブログでは初登場の DataEase なので、GItHub のプロジェクト・ページは中国語でした。Wikipedia で紹介されている DataEase は、RDBMS なので、別物なのだろうと思います。
IoT OT Security News 
You must be logged in to post a comment.