「Apache InLong」に認証のバイパスなど複数の脆弱性

大量のデータを統合できるフレームワーク「Apache InLong」に認証のバイパスなど複数の脆弱性が明らかとなった。9月に公開された最新版にて修正されたという。

開発チームが、現地時間10月16日から19日にかけてメーリングリストを通じ、複数の脆弱性を明らかにしたもの。

具体的には、ユーザー制御キーにより認証のバイパスが可能となる「CVE-2023-43668」が判明した。開発チームでは重要度を4段階中、上から2番目にあたる「重要（Important）」とレーティングしている。

一方、米国立標準技術研究所（NIST）の脆弱性データベース「NVD」では、共通脆弱性評価システム「CVSSv3.1」のベーススコアを「9.8」、重要度を「クリティカル（Critical）」とレーティングしている。

さらに不正なレコードを作成し、監査が困難となる「SQLインジェクション」の脆弱性「CVE-2023-43667」や、データ検証不備の脆弱性「CVE-2023-43666」、信頼できないデータをデシリアライズする「CVE-2023-46227」などもあわせて明らかとなっている。

開発チームは、9月25日にリリースした「同1.9.0」にてこれら脆弱性を修正したと説明。アップデートやパッチの適用を呼びかけている。「同1.9.0」に関しては、これら脆弱性の修正のほか、200件以上の問題に対処したとされている。

（Security NEXT - 2023/10/25 ） ツイート

PR

関連記事

環境省公開ファイルに経産省の個人情報 - 同一委託先でデータ混入
「GitLab」にセキュリティアップデート - 複数脆弱性を修正
ゼロデイ攻撃による「Cisco SD-WAN」侵害を確認 - 米当局が緊急指令
「Cisco Catalyst SD-WAN」に深刻な脆弱性 - すでに悪用も
「Firefox 148」で50件超の脆弱性を修正 - AI制御機能の追加も
「LANSCOPE エンドポイントマネージャー」に深刻なRCE脆弱性
ファイル転送製品「SolarWinds Serv-U」に複数RCE脆弱性
生徒の個人情報を飲酒後に紛失、中学校教諭を処分 - 川崎市
支援事業補助金の募集メールで誤送信 - 香川県観光協会
フィッシングサイトの撲滅競技 - 2週間で2828件をテイクダウン