「Apache InLong」に認証のバイパスなど複数の脆弱性

大量のデータを統合できるフレームワーク「Apache InLong」に認証のバイパスなど複数の脆弱性が明らかとなった。9月に公開された最新版にて修正されたという。

開発チームが、現地時間10月16日から19日にかけてメーリングリストを通じ、複数の脆弱性を明らかにしたもの。

具体的には、ユーザー制御キーにより認証のバイパスが可能となる「CVE-2023-43668」が判明した。開発チームでは重要度を4段階中、上から2番目にあたる「重要（Important）」とレーティングしている。

一方、米国立標準技術研究所（NIST）の脆弱性データベース「NVD」では、共通脆弱性評価システム「CVSSv3.1」のベーススコアを「9.8」、重要度を「クリティカル（Critical）」とレーティングしている。

さらに不正なレコードを作成し、監査が困難となる「SQLインジェクション」の脆弱性「CVE-2023-43667」や、データ検証不備の脆弱性「CVE-2023-43666」、信頼できないデータをデシリアライズする「CVE-2023-46227」などもあわせて明らかとなっている。

開発チームは、9月25日にリリースした「同1.9.0」にてこれら脆弱性を修正したと説明。アップデートやパッチの適用を呼びかけている。「同1.9.0」に関しては、これら脆弱性の修正のほか、200件以上の問題に対処したとされている。

（Security NEXT - 2023/10/25 ） ツイート

PR

関連記事

スパム対策機器にゼロデイ攻撃、ディレクトリサーバに横展開 - 慶応大
高齢者調査名簿や調査票が所在不明に - 名古屋市
「MongoDB」に脆弱性「MongoBleed」 - 「PoC」公開、早急に対応を
ボランティア連絡用端末で誤送信、メアドが流出 - 奈良県
寝台列車「TWILIGHT EXPRESS」の乗客情報を消失 - 誤操作か
メール転送エージェント「Exim」に脆弱性 - 「クリティカル」評価も
「Apache NiFi」の「Asana」連携の一部処理にRCE脆弱性
ワークフローツール「n8n」に今月3件目の「クリティカル」脆弱性
先週注目された記事（2025年12月21日〜2025年12月27日）
「IBM API Connect」に認証回避の脆弱性 - 暫定修正を提供