Arctera Data Insight SQL Injection (SQLi) の脆弱性

リビジョン履歴

• 1.0: 2024年12月16日:初回バージョン
• 1.1: 2025年01月02日: CVE_ID を追加

概要

Arctera Data Insight 7.1 およびそれ以前のバージョンにおいて脆弱性が発見されました。この脆弱性により、攻撃者はアプリケーションの管理機能の1つであるSQL query の構文を変更できるようになり、その結果、攻撃者はバックエンドデータベース上で任意のSQLコマンドを送信し、データベースに保存されたデータを作成、読み取り、更新、または削除できるようになる可能性があります。

問題

CVE ID: CVE-2024-46542

重大度: 中

CVSS v3.1 基本スコア 6.5 (AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:N)

CWE-89: SQLコマンドで使用される特殊要素の不適切な無作用化 ('SQL Injection')

前提条件

攻撃者は、ウェブコンソールを通してデータベースを閲覧できるアプリケーション管理者の役割を持っている必要があります。

影響を受けるバージョン

Arctera Data Insight バージョン 6.3, 6.3.1, 6.4, 6.4.1, 6.5, 6.5.1, 6.5.2, 6.6, 6.6.1, 6.6.2, 7.0, 7.0.1 および 7.1 。サポートされていない旧バージョンの Arctera Data Insight も影響を受ける可能性があります。

修復策

現在メンテナンス契約をお持ちのお客様は、Data Insight バージョン 7.1.1 にアップグレードしてください。

利用可能な更新については、ダウンロードセンター (https://www.veritas.com/support/ja_JP/downloads) を参照してください。

謝辞

この脆弱性を弊社にご報告いただいた Mario Tesoro 氏に感謝いたします。

お問い合わせ

この脆弱性に関してご質問や問題がありましたら、Arctera テクニカルサポート(https://www.arctera.io/support) にお問い合わせください。

免責

本セキュリティアドバイザリは、現状のままで提供されるものであり、その商品性、特定目的への適合性、または不侵害の暗黙的な保証を含む、明示的あるいは暗黙的な条件、表明、および保証はすべて免責されるものとします。ただし、これらの免責が法的に無効であるとされる場合を除きます。Veritas Technologies LLC は、本アドバイザリの提供、内容の実施、また本アドバイザリの利用によって偶発的あるいは必然的に生じる損害については責任を負わないものとします。本アドバイザリに記載の情報は、予告なく変更される場合があります。

Arctera US LLC
6200 Stoneridge Mall Road, Suite 150
Pleasanton, CA 94588