「InfluxDB」に全トークンが取得可能となる脆弱性 - 修正を準備中

時系列のデータ処理やリアルタイム分析などに活用されているデータベースソフトウェア「InfluxDB」において、あらゆるトークンを取得でき、権限の昇格が可能となる脆弱性が判明した。

「同2.7.10」以前のバージョンにおいて、権限の昇格が可能となる脆弱性「CVE-2024-30896」が判明したもの。特定のトークンを持つユーザーがコマンドラインやAPIを通じて同一組織内で利用するすべてのトークンを取得できるという。

本来の設計としてトークンの表示が許容されているが、運用上、権限の昇格が可能となるロジックには問題があり、セキュリティ上の問題であるとの指摘を受けている。

共通脆弱性評価システム「CVSSv3.1」のベーススコアは「9.1」と評価されており、重要度は「クリティカル（Critical）」とレーティングされている。

開発チームでは、以前より問題を把握しており、修正対応を予定していたと説明。今後提供するアップデートでは、トークン情報をハッシュ化して直接参照できないよう対策を講じる予定。

信頼できないユーザーをデフォルトの組織に追加しないなど、トークン管理に注意を払うよう求めている。

（Security NEXT - 2024/11/29 ） ツイート

PR

関連記事

保険料の架空請求メール出回る - 電子決済アプリ誘導に警戒を
一部利用者で不正ログイン、注意を喚起 - 時事通信フォト
「Apache ActiveMQ」にRCE脆弱性 - 悪用が確認され「KEV」にも登録
「第一生命」かたるフィッシングメールに注意 - 「5000円相当プレゼント」と誘導
従業員メルアカが不正利用、取引先へ不審メール - トーホー
ランサムウェア被害を確認、詳細は調査中 - FA機器開発会社
委託先で顧客情報流出、無断転用のファイルに残存 - GMOあおぞら銀
「Cisco ISE」に複数の深刻な脆弱性 - 一部修正パッチを準備中
「Ivanti Neurons for ITSM」に脆弱性 - アップデートを提供
SAP、月例セキュリティアドバイザリ19件を公開 - 「クリティカル」も