「InfluxDB」に全トークンが取得可能となる脆弱性 - 修正を準備中

時系列のデータ処理やリアルタイム分析などに活用されているデータベースソフトウェア「InfluxDB」において、あらゆるトークンを取得でき、権限の昇格が可能となる脆弱性が判明した。

「同2.7.10」以前のバージョンにおいて、権限の昇格が可能となる脆弱性「CVE-2024-30896」が判明したもの。特定のトークンを持つユーザーがコマンドラインやAPIを通じて同一組織内で利用するすべてのトークンを取得できるという。

本来の設計としてトークンの表示が許容されているが、運用上、権限の昇格が可能となるロジックには問題があり、セキュリティ上の問題であるとの指摘を受けている。

共通脆弱性評価システム「CVSSv3.1」のベーススコアは「9.1」と評価されており、重要度は「クリティカル（Critical）」とレーティングされている。

開発チームでは、以前より問題を把握しており、修正対応を予定していたと説明。今後提供するアップデートでは、トークン情報をハッシュ化して直接参照できないよう対策を講じる予定。

信頼できないユーザーをデフォルトの組織に追加しないなど、トークン管理に注意を払うよう求めている。

（Security NEXT - 2024/11/29 ） ツイート

PR

関連記事

区立保育園で児童票が所在不明、誤廃棄か - 練馬区
関係者向けの通知メールで誤送信、メアド流出 - 東村山市
ふるさと納税寄付者情報を返礼品提供事業者に誤送信 - 京都市
ミュージカル製作発表の観客申込フォームで設定ミス - 個人情報が流出
患者に差出人装うハガキ、情報流出を調査 - 糸島医師会病院
受講マッチングサービスの利用者でクレカ不正利用被害 - 関連を調査
WooCommerce向け2FAプラグインに脆弱性 - 認証回避のおそれ
キヤノン製スモールオフィス向け複合機に複数の深刻な脆弱性
「OpenStack」の認証ミドルウェアに脆弱性 - 権限昇格やなりすましのおそれ
防犯協会職員がサポート詐欺被害 - PCが遠隔操作、金銭詐取も