Pandora FMS の SQL インジェクションにより任意のコマンドが実行される脆弱性(Scan Tech Report) | ScanNetSecurity
2026.06.13(土)

Pandora FMS の SQL インジェクションにより任意のコマンドが実行される脆弱性(Scan Tech Report)

統合監視ツール Pandora FMS に SQL インジェクションにより任意のコマンドの脆弱性が報告されています。

脆弱性と脅威 エクスプロイト
23 views
facebookLINE
1.概要
統合監視ツール Pandora FMS に SQL インジェクションにより任意のコマンドの脆弱性が報告されています。当該脆弱性を悪用して、遠隔の攻撃者やシステム内の低い権限のユーザが SQL コマンドを実行され、データベースが操作される可能性があります。


2.深刻度(CVSS)
7.5
http://www.tenable.com/plugins/index.php?view=single&id=81148


3.影響を受けるソフトウェア※1
Pandora FMS 5.0 SP2 以前のバージョン


4.解説
Pandora FMS はネットワークやサーバ、アプリケーションの状態監視を統合的に実現することができる統合監視ツールです。オープンソース版のほか、商用サポートおよび機能追加を行った Enterprise 版があります。

当該脆弱性を含む Pandora FMS では、モバイルログインインタフェースの"user" パラメータに SQL インジェクションの脆弱性が含まれています。脆弱性を悪用すると、遠隔の攻撃者やシステム内の権限が低いユーザは SQL コマンドを実行が可能となり、データベースを操作することなどが可能となります。


5.対策
以下の公式サイトより Pandora FMS 5.0 SP3 以降を入手しアップデートする
ことで、この脆弱性を解消することが可能です。

http://pandorafms.com/


6.ソースコード
(Web非公開)

(執筆:株式会社ラック サイバー・グリッド研究所

※Web非公開該当コンテンツ閲覧をご希望の方はScan Tech Reportにご登録(有料)下さい。

Scan Tech Report
http://scan.netsecurity.ne.jp/archives/51916302.html

《株式会社ラック デジタルペンテスト部》

関連記事

特集

関連リンク

PageTop

アクセスランキング

  1. 日本大学文理学部のウェブサイトが改ざん被害、カジノサイトを模した不正な画面が表示

    日本大学文理学部のウェブサイトが改ざん被害、カジノサイトを模した不正な画面が表示

  2. CAMPFIRE への不正アクセス、従業員が発行した GitHub 認証情報が個人開発で利用していたサーバ上に意図せずアップロードされ不正利用

    CAMPFIRE への不正アクセス、従業員が発行した GitHub 認証情報が個人開発で利用していたサーバ上に意図せずアップロードされ不正利用

  3. 中学校でサポート詐欺被害、口座から 100 円と 999 万 9,999 円の送金

    中学校でサポート詐欺被害、口座から 100 円と 999 万 9,999 円の送金

  4. ビジュアルアーツに不正アクセス、発売前ゲームのマスターデータが海外Webサイトにアップロード

    ビジュアルアーツに不正アクセス、発売前ゲームのマスターデータが海外Webサイトにアップロード

  5. SOC サービスの実態に迫る:株式会社SHIFT SECURITY と株式会社クラフ、新たな監視サービスへの挑戦

    SOC サービスの実態に迫る:株式会社SHIFT SECURITY と株式会社クラフ、新たな監視サービスへの挑戦PR

ランキングをもっと見る
PageTop
ホーム 脆弱性と脅威 エクスプロイト 記事
TOP