Pandora FMS の SQL インジェクションにより任意のコマンドが実行される脆弱性（Scan Tech Report）

統合監視ツール Pandora FMS に SQL インジェクションにより任意のコマンドの脆弱性が報告されています。

脆弱性と脅威エクスプロイト

2015.2.18 Wed 8:00

1.概要
統合監視ツール Pandora FMS に SQL インジェクションにより任意のコマンドの脆弱性が報告されています。当該脆弱性を悪用して、遠隔の攻撃者やシステム内の低い権限のユーザが SQL コマンドを実行され、データベースが操作される可能性があります。

2.深刻度(CVSS)
7.5
http://www.tenable.com/plugins/index.php?view=single&id=81148

3.影響を受けるソフトウェア※1
Pandora FMS 5.0 SP2 以前のバージョン

4.解説
Pandora FMS はネットワークやサーバ、アプリケーションの状態監視を統合的に実現することができる統合監視ツールです。オープンソース版のほか、商用サポートおよび機能追加を行った Enterprise 版があります。

当該脆弱性を含む Pandora FMS では、モバイルログインインタフェースの"user" パラメータに SQL インジェクションの脆弱性が含まれています。脆弱性を悪用すると、遠隔の攻撃者やシステム内の権限が低いユーザは SQL コマンドを実行が可能となり、データベースを操作することなどが可能となります。

5.対策
以下の公式サイトより Pandora FMS 5.0 SP3 以降を入手しアップデートする
ことで、この脆弱性を解消することが可能です。

http://pandorafms.com/

6.ソースコード
（Web非公開）

（執筆：株式会社ラック　サイバー・グリッド研究所）

※Web非公開該当コンテンツ閲覧をご希望の方はScan Tech Reportにご登録（有料）下さい。

Scan Tech Report
http://scan.netsecurity.ne.jp/archives/51916302.html

《株式会社ラックデジタルペンテスト部》