CVE-2025-24786 (CVSS 10) & CVE-2025-24787: Critical WhoDB Vulnerabilities
2025/02/09 SecurityOnline — 広く使用されているデータベース管理ツール WhoDB に、パス・トラバーサルの脆弱性 CVE-2025-24786 (CVSS:10.0) とパラメータ・インジェクションの脆弱性 CVE-2025-24787 (CVSS:8.6) という、2つの深刻なセキュリティ欠陥が発見された。どちらの脆弱性も、攻撃者に対してシステム・ファイルや機密データへの不正アクセスを許す可能性がある。
GoLang で構築された WhoDB は、効率的なデータベース管理を目的として設計されており、対話型のスキーマ視覚化とインライン編集を提供している。
今回、新たに公開された脆弱性は、バージョン 0.45.0 以下を実行している、すべてのシステムに重大なリスクをもたらす。
CVE-2025-24786:パス・トラバーサルの脆弱性 (CVSS:10.0)
この重大な脆弱性は、SQLite3 データベースを開くときの、パス・トラバーサルの防止の失敗に起因する。 WhoDB では、特定のディレクトリ内の SQLite3 データベースのみを表示するように設計されているが、この欠陥を悪用する攻撃者は、ホスト・マシン上の任意の SQLite3 データベースを開ける。
アドバイザリには、「この脆弱性の悪用に成功した未認証の攻撃者は、アプリケーションが実行されているホスト・マシン上の、任意の SQLite3 データベースをオープンできる。続いて、攻撃者は、パス・トラバーサル手法 (ファイル・パスでの “../../” の使用など) を介して、想定されたディレクトリ外へと移動し、機密データベース・ファイルにアクセスできる。それにより、機密データの漏洩/重要な情報の変更/サービスの中断などが、発生し得る状況に陥る。
CVE-2025-24787:パラメーター・インジェクションの脆弱性 (CVSS:8.6)
2つ目の脆弱性は、データベース接続文字列のパラメーター・インジェクションに関係するものであり、その悪用に成功した攻撃者は、WhoDB を実行しているマシン上のローカル・ファイルの読み取りを達成する。この脆弱性は、データベース接続 URI を構築する際の、安全が確保されない文字列連結から発生し、攻撃者に対して任意のパラメーター挿入を許すものとなる。
それらの危険なパラメータの1つとして、”github.com/go-sql-driver/mysql” ライブラリの “allowAllFiles” がある。したがって、接続 URI に “&allowAllFiles=true” を挿入することで、攻撃者は “LOAD DATA LOCAL INFILE” クエリを実行し、ホスト・マシン上の任意のファイルへのアクセスを達成する。
影響と推奨事項
すでに、PoC エクスプロイトが開発されており、これらの欠陥を、攻撃者が簡単に利用できる状況になっている。
これらの脆弱性は、WhoDB ユーザーにとって大きな脅威であり、放置するとデータ侵害/不正アクセス/システム侵害につながる可能性が生じる。どちらの脆弱性も、WhoDB バージョン 0.45.0 以下に影響を及ぼす。すでに WhoDB の開発者は、バージョン 0.45.0 をリリースし、これらの問題に対処している。したがって、ユーザーに強く推奨されるのは、速やかな更新となる。
さらに、WhoDB を使用する組織にとって必要なことは、ネットワーク・セグメンテーション/アクセス制御/定期的なセキュリティ監査などのセキュリティ対策の実装であり、それらによりエクスプロイトのリスクを軽減すべきである。
WhoDB の脆弱性 CVE-2025-24786/24787 が FIX しました。アップデートを怠ると、システム・ファイルや、機密データへの不正アクセスが生じる恐れがあるようです。PoC も提供されていますので、ご利用のチームは、十分にご注意ください。よろしければ、Database で検索も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.