CVE-2025-22954 (CVSS 10): Koha Library Systems at High Risk, Patch Immediately
2025/03/17 SecurityOnline — 広く使用されている OSS ライブラリ管理システムである Koha に、深刻な SQL インジェクションの脆弱性 CVE-2025-22954 (CVSS:10) が発見された。この脆弱性は、”lateissues-export.pl” に存在し、攻撃者に対して任意の SQL インストラクションの挿入を許すものである。脆弱な関数 GetLateOrMissingIssues (C4/Serials.pm 内) は、適切にサニタイズされていない supplyerid/serialid パラメータを介して、SQL インジェクションの影響を受けてしまう。
この脆弱性の影響は深刻であり、以下の悪意のアクティビティを許してしまう:
- 未認証のユーザー:Koha バージョン 21.11.x 以下への SQL 命令の挿入
- 認証済みユーザー:Koha バージョン 21.11.x 以降への SQL 命令の挿入
この SQL インジェクションの脆弱性を悪用する攻撃者は、ライブラリのデータベース内の機密データに対する読取/変更/削除を達成し、データ侵害や不正アクセスなどの悪意のアクティビティを引き起こす可能性を手にする。
すでに Koha バージョン 24.11.02 がリリースされ、この深刻なセキュリティ問題は対処されている。すべての Koha ユーザーに対して強く推奨されるのは、最新バージョンへと速やかにアップグレードすることだ。
Koha 24.11.02 には、今回の SQL インジェクションの修正に加えて、いくつかのセキュリティ強化策が取り込まれている。
- MARC 詳細ページと ISBD ページにおける、抑制されたレコードの適切な処理。
- 潜在的な不正アクセスの、パブリック REST ルートでの対処。
- サーバ・サイドにおける ArticleRequestsSupportedFormats の強制。
- patron_lists/delete.pl への CSRF 保護の追加。
- SIP2 による、パスワードのログ記録の防止。
- API リクエストの前の、メモリ (L1) キャッシュのフラッシュ。
- Template::Toolkit フィルターにおける、RFC3986 の使用。
- 循環リターンにおける、反射型 XSS に対する対策の強化。
- HTML スクラバーを使用する TT フィルターの追加。
- ベンダー検索での XSS の修正。
- タスク・スケジューラ内での、リモート・コード実行への対処。
Koha ユーザーに推奨されるのは、リリース・ノートの確認と、機能強化とバグ修正のリストの確認である。
OSS の ILS (integrated library system) である Koha Library に、最高深刻度の脆弱性が発生しています。悪用されるとデータ侵害や不正アクセスなどに至る可能性があるとのことですので、ご利用のチームは、アップデートをご確認下さい。よろしければ、カテゴリ _OpenSource も、ご参照下さい。
IoT OT Security News 
You must be logged in to post a comment.