「Apache InLong」に認証のバイパスなど複数の脆弱性

大量のデータを統合できるフレームワーク「Apache InLong」に認証のバイパスなど複数の脆弱性が明らかとなった。9月に公開された最新版にて修正されたという。

開発チームが、現地時間10月16日から19日にかけてメーリングリストを通じ、複数の脆弱性を明らかにしたもの。

具体的には、ユーザー制御キーにより認証のバイパスが可能となる「CVE-2023-43668」が判明した。開発チームでは重要度を4段階中、上から2番目にあたる「重要（Important）」とレーティングしている。

一方、米国立標準技術研究所（NIST）の脆弱性データベース「NVD」では、共通脆弱性評価システム「CVSSv3.1」のベーススコアを「9.8」、重要度を「クリティカル（Critical）」とレーティングしている。

さらに不正なレコードを作成し、監査が困難となる「SQLインジェクション」の脆弱性「CVE-2023-43667」や、データ検証不備の脆弱性「CVE-2023-43666」、信頼できないデータをデシリアライズする「CVE-2023-46227」などもあわせて明らかとなっている。

開発チームは、9月25日にリリースした「同1.9.0」にてこれら脆弱性を修正したと説明。アップデートやパッチの適用を呼びかけている。「同1.9.0」に関しては、これら脆弱性の修正のほか、200件以上の問題に対処したとされている。

（Security NEXT - 2023/10/25 ）ツイート