Uniguest Tripleplay Security Alert: Multiple CVSS 10 Vulnerabilities Discovered
2025/03/09 SecurityOnline — さまざまな分野で利用される、人気の AV 統合ソリューション Tripleplay に、複数の深刻な脆弱性が潜んでいることが判明した。Uniguest の Tripleplay システムに存在する、これらの脆弱性が悪用されると、リモート・コード実行/SQL インジェクション/クロスサイト・スクリプティング (XSS) 攻撃に至るとされる。なお、一連の脆弱性は、セキュリティ研究者である Alwin Warringa により発見された。
Tripleplay は、ネットワーク経由でメディア・コンテンツを配信するように設計されており、スポーツ/イベント/一般企業/銀行/政府などの分野で使用されている。これらの脆弱性が影響を及ぼす範囲は、Tripleplay のバージョン 24.2.1 未満であり、膨大な数のシステムが潜在的な危機に直面していることになる。
1つ目の深刻な脆弱性 CVE-2024-50704 (CVSS:10) は、特別に細工された HTTP POST リクエストを介した、認証を必要としないリモート・コード実行に関するものである。この欠陥を悪用する攻撃者は、事前の認証を必要とせずに、標的サーバ上での任意のコマンド実行の可能性を手にする。
2つ目の深刻な脆弱性 CVE-2024-50706 (CVSS:10) は、認証を必要としない SQL インジェクションの欠陥である。この脆弱性の悪用に成功した攻撃者は、バックエンド・データベース上で任意の SQL クエリを実行し、機密データへのアクセス許可の可能性を手にする。
3つ目の脆弱性 CVE-2024-50705 は、反射型クロスサイト・スクリプティング (XSS) 攻撃を引き起こすものである。この脆弱性を悪用する攻撃者は、Tripleplay ユーザーが閲覧する Web ページ内に悪意のスクリプトを挿入し、アカウント侵害やデータ窃取を引き起こす可能性を得る。
4つ目の脆弱性 CVE-2024-50707 (CVSS:10) は、HTTP GET リクエストの X-Forwarded-For ヘッダーを、Tripleplay が処理する際の方法に起因する。このヘッダーに悪意のペイロードを挿入する攻撃者は、サーバ上でのリモート・コマンド実行の可能性を手にする。この問題は、不適切な入力検証と、ユーザーが提供するヘッダー・データに対する不十分なサニタイズに起因する。
すでに Uniguest は、Tripleplay バージョン 24.2.1/24.1.2 をリリースし、これらの脆弱性に対処している。また、以前のバージョン用のパッチも用意されている。ただし、修正を行う際には、訓練を受けた Uniguest サポート・エンジニア/テクニカル・サービス・エンジニアによる、パッケージのインストールが必要になるという。
Uniguest がユーザーに対して強く推奨するのは、最新バージョンへのアップデートもしくは、必要なパッチの速やかな適用である。ユーザーが行うべきことは、テクニカル・アカウント担当者への連絡および、support@tripleplay.tv へのメール送信による、アップグレードの手配である。
Tripleplay を使用している組織に強く推奨されるのは、速やかな行動による、システム・セキュリティの確保となる。
Uniguest Tripleplay に複数の脆弱性が発生しています。今回修正された脆弱性のうち、3件は CVSS 値の最高値である 10.0 と評価されている、深刻なものです。ご利用のチームは、アップデートあるいはパッチの適用を、ご検討下さい。よろしければ、Platform で検索も、ご参照下さい。
IoT OT Security News 
You must be logged in to post a comment.