CVE-2024-56325 (CVSS 9.8): Authentication Bypass Vulnerability Discovered in Apache Pinot
2025/03/10 SecurityOnline — LinkedIn と Uber により開発が始まった、高性能リアルタイム OLAP データストア Apache Pinot は、低レイテンシ分析に依存する組織にとって重要なツールとなっている。その Pinot で、新たに発見された認証バイパス脆弱性 CVE-2024-56325 (CVSS:9.8) により、認証を必要としないリモート攻撃者が、影響を受けるシステムに不正アクセスするという、深刻なセキュリティ上の懸念が生じている。
AuthenticationFilter クラス内の URI における、特殊文字の無効化が不十分なことに、この脆弱性は起因する。この脆弱性を悪用する攻撃者は、悪意のリクエストを作成して認証メカニズムをバイパスし、認証されたユーザーと同様に、システムへのアクセスを許可できるようになる。
この脆弱性は、Knownsec 404 チームの Sunflower により報告され、Trend Micro Zero-Day Initiative (ZDI) が公開した。
ZDI のアドバイザリには、「この問題は、URI 内の特殊文字に対する、不十分な無効化に起因する。この脆弱性を悪用する攻撃者は、対象システムの認証をバイパスできる」と記されている。
Apache Pinot は、リアルタイム分析アプリケーションを強化するために組織で広く使用され、その中には、機密情報を扱うものも含まれる。したがって、この認証バイパスを達成する攻撃者は、重要なデータに対するアクセス/変更/削除を達成し、甚大な被害を引き起こす可能性を手にする。
すでに Apache は、Pinot バージョン 1.3.0 をリリースし、この脆弱性に対処している。Apache Pinot のユーザーに強く推奨されるのは、最新バージョンへと速やかに更新し、悪用のリスクを軽減することだ。
リアルタイム分析プラットフォームである Apache Pinot に、深刻な認証バイパスの脆弱性が発生しています。ご利用のチームは、ご注意下さい。このサービスの前回の脆弱性は、2024/07/26 の「Apache Pinot の脆弱性 CVE-2024-39676 が FIX:情報漏えいとセキュリティ侵害の恐れ」でした。よろしければ、Apache で検索と併せて、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.