Critical Zoho Analytics Plus Flaw Allows Attackers to Run Arbitrary SQL Queries
2024/11/14 gbhackers — Zoho Analytics Plus オンプレミス版において、深刻な SQL インジェクションの脆弱性が発見された。この脆弱性 CVE-2025-8324 を悪用する攻撃者は、認証を必要とせずに任意の SQL クエリを実行し、データ漏洩やアカウント乗っ取りを引き起こす可能性を得る。したがって、この脆弱性の影響を受けるバージョンを運用する組織は、深刻なリスクにさらされる。
脆弱性の概要
この脆弱性 CVE-2025-8324 は、Analytics Plus オンプレミス版の Build 6170 以下における入力検証の不備に起因する。この脆弱性を悪用する攻撃者は、認証メカニズムを回避し、バックエンド・データベースに直接アクセスする可能性がある。
この種の脆弱性は、未認証のリモート脅威アクターにより、ユーザーによる操作を必要とせずに悪用される可能性があるため、きわめて危険である。
| CVE ID | Product | Severity | Affected Versions | Fixed Version |
|---|---|---|---|---|
| CVE-2025-8324 | Analytics Plus on-premise | Critical | Below Build 6170 | Build 6171 |
脆弱性 CVE-2025-8324 は深刻なセキュリティ・リスクであり、その潜在的な影響と悪用されやすさから、深刻度レベル Critical に分類されている。
この脆弱性は、Build 6170 以下を使用している組織に影響を与え、データ漏洩や機密情報への不正アクセスの危険にさらされる。
この SQL インジェクション脆弱性の影響は深刻である。CVE-2025-8324 の悪用に成功した攻撃者は、Analytics Plus データベースに保存されている機密ユーザー・データ (認証情報/個人情報/ビジネス・インテリジェンスなど) にアクセスする可能性がある。
したがって、侵害が成功すると、アカウント乗っ取りが容易になり、正当なユーザーを装う攻撃者が、システム内で不正な操作を実行する可能性が生じる。さらに攻撃者は、データベース・レコードの改竄や重要な情報の削除を行い、影響を受けるシステム上での永続的なアクセスを確立する可能性がある。
データ分析およびレポート作成において、Zoho Analytics Plus を利用しているケースで、この脆弱性が悪用された場合には、深刻な業務中断と評判の失墜に直面する可能性がある。この脆弱性は、特定のアプリケーション・エンドポイントにおける入力サニタイズが不十分なために発生している。
攻撃者は、悪意の SQL クエリの作成と、脆弱なパラメータを介した挿入により、適切な検証をバイパスしてデータベースを操作できる。それにより、データベースの整合性と機密性が完全に侵害される可能性がある。
すでに Zoho は、修正バージョンとして Build 6171 をリリースしている。この Build では、脆弱な URL に対する厳格な制限の適用と、安全ではないコードの削除により、この脆弱性に対処している。
オンプレミスで Analytics Plus を実行している組織にとって必要なことは、直ちに最新 Build へとアップグレードし、リスクを軽減することだ。このアップグレード・プロセスにおいては、ManageEngine サービスパック・リポジトリから最新の Build をダウンロードし、詳細なインストール手順に従う必要がある。
Zoho Analytics Plus に、入力チェックの不足を原因とする SQL インジェクションが発生しています。認証なしで攻撃が成立してしまうため、データベースへの不正アクセスが非常に容易になってしまうところが深刻です。機密データの読み取りだけではなく、アカウント乗っ取りやデータ改竄にもつながるため、業務停止などの影響も避けられないと、この記事は指摘しています。ご利用のチームは、ご注意ください。よろしければ、Zoho で検索も、お試しください。
IoT OT Security News 
You must be logged in to post a comment.