Apache VCL Hit by SQL Injection (CVE-2024-53678) and XSS (CVE-2024-53679) Vulnerabilities
2025/03/26 SecurityOnline — Apache VCL (Virtual Computing Lab) は、カスタム・コンピューティング環境を提供するために設計された、広く使用される OSS クラウド・プラットフォームだが、深刻なセキュリティ上の欠陥に直面している。最新のアドバイザリで明らかにされた、2つの深刻な脆弱性は、SQL インジェクションとクロスサイト・スクリプティング (XSS) を引き起こすものである。
脆弱性 CVE-2024-53678 は、Apache VCL の新規ブロック割り当てフォームに存在する。SQL インジェクションの欠陥である。この脆弱性は、SQL コマンドで使用される特殊要素に対する、不適切な無効化 に起因する。この脆弱性の悪用に成功した攻撃者は、新規ブロック割り当てリクエストとして送信されるフォーム・データを操作し、SELECT SQL ステートメントを変更できる。
アドバイザリには、SELECT ステートメントにより返されるデータは、攻撃者に対して表示できないとされるが、SQL クエリの変更により大きなリスクが生じる。その悪用に成功した攻撃者は、不正なデータの操作や、バックエンド・データベースの侵害を引き起こす可能性を手にする。この脆弱性が影響を及ぼす、Apache VCL バージョン 2.2 〜 2.5.1 となる。
脆弱性 CVE-2024-53679 は、Apache VCL のユーザー検索フォームにおける、クロスサイト・スクリプティング (XSS) の欠陥である。この脆弱性は、Web ページの生成中における、入力の不適切な無効化に起因する。
ユーザー検索セクションへのアクセス権を持つユーザーであれば、悪意の URL の作成と、クリックへの誘導により、特定ユーザーの権限昇格を達成する。この脆弱性が影響を及ぼす範囲は、Apache VCL バージョン 2.1 〜 2.5.1 となる。
これらの脆弱性の悪用における結果は深刻であり、不正アクセス/データ侵害/システム侵害などが生じる恐れがある。これらのリスクを軽減するに、ユーザーの速やかな行動が必要となる。
すべてのユーザーに対して強く推奨されるのは、Apache VCL バージョン 2.5.2 へと、直ちにアップグレードすることだ。このリリースには、上記の SQLi/XSS の脆弱性を修正するための、必要な修正が取り込まれている。Apache VCL デプロイメントのセキュリティと整合性を確保するためには、この更新の速やかな適用が不可欠となる。
OSS のクラウド管理システムである Apache VCL の脆弱性が FIX とのことです。 特に、CVE-2024-53679 の CVSS 値は 8.4 と評価されている深刻なものです。ご利用のチームは、アップデートを忘れないよう、お気をつけください。よろしければ、Apache で検索も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.