GLPI ITSM Tool Flaw Allows Attackers to Inject Malicious SQL Queries
2025/03/28 gbhackers — 広く使用されているオープンソースの ITSM (IT Service Management) ツールである GLPI に、深刻な SQL インジェクション脆弱性が発見された。この脆弱性 CVE-2025-24799 は、GLPI におけるユーザー入力の処理方法に起因する。この脆弱性が悪用されると、データベースのクエリ操作が未認証のリモート攻撃者に許され、データ盗難/改ざん/リモート・コード実行などの深刻な被害が生じるという。
この脆弱性を悪用する攻撃者は、悪意の SQL クエリを送信して認証を回避し、GLPI データベースに保存されている機密データへの、不正アクセスを達成することになる。
Broadcom のレポートによると、データ流出だけではなく、基盤となるサーバの制御や、任意のコマンド実行の可能性を、攻撃者は手にすることになるという。
この脆弱性は、GLPI バージョン 10.0.18 未満に影響を及ぼすものであり、IT サポート/資産管理/ヘルプデスク環境で広く使われる ITSM ツールへの深刻な影響が、専門家たちにより指摘されている。
| Product Name | Version | CVE |
|---|---|---|
| GLPI ITSM Tool | 10.0.0 – 10.0.17 | CVE-2025-24799 |
脆弱性の影響
この脆弱性 CVE-2025-24799 が悪用されると、以下のような影響が広範囲に及ぶ可能性があると、研究者たちは警告している。
- データ漏えい:IT 資産/ユーザー/ビジネス・プロセスなどの機密情報が、GLPI データベースから窃取される可能性がある。
- データ改ざん:システム内に保存されたデータの改変/破損や、IT 業務およびワークフローに混乱の可能性が生じる。
- リモート・コード実行 (RCE):データベースに注入される、悪意のコードにより窃取されたアクセス権限が悪用され、さらなる攻撃へと至り、システム全体の乗っ取りの可能性が生じる。
GLPI は企業や政府機関の IT 環境で広く使用されていることから、この脆弱性は、それらの組織にとって重大なリスクとなる。
パッチと緩和策
すでに GLPI 開発チームは、この脆弱性を修正するパッチを含む バージョン 10.0.18 をリリースしている。GLPI のユーザー組織に推奨されるのは、潜在的なリスクを軽減するために、直ちにインストールを更新することだ。すぐに更新できないユーザーに推奨されるのは、WAF (Web Application Firewall) の有効化や、データベース・ログの詳細な監視などの追加の安全対策により、不審な活動を検出/遮断することである。
この脆弱性 CVE-2025-24799 は、ある大手セキュリティ企業における、OSS アプリケーションの定期的なセキュリティ監査中に、サイバー・セキュリティ研究者たちにより発見され、GLPI の開発チームへと速やかに報告された。そして、悪用の可能性を最小限に抑えるために、協調的な情報開示が行われた。
サイバー・セキュリティ・チームに求められるのは、自組織における GLPI の実装状況を包括的に見直すことである。そのうえで、インターネットへの露出を最小限に抑え、データベースのアクセス制御を強化するなど、堅牢なセキュリティ対策を講じることが推奨される。
サイバー脅威が進化し続ける中で、今回の事例が改めて浮き彫りにするのは、IT インフラを保護する上で重要となる、脆弱性管理の積極的な姿勢と、迅速なパッチ適用である。
GLPI について調べてみたところ Wikipedia に、「GLPI:Gestionnaire Libre de Parc Informatique はフランスの OSS であり、英語では “Free IT Equipment Manager” を意味する。OSS として提供される、IT 資産管理/問題追跡システム/サービスデスク・システムであり、PHP で書かれている。GNU General Public License の下で、OSS として配布されている」と紹介されていました。なんとなく、訳してしまいましたが、日本には、あまり関係が無かったのかもしれません。
IoT OT Security News 
You must be logged in to post a comment.