目次
記事の要約
- XWikiのREST APIにSQLインジェクションの脆弱性
- バージョン15.10.16、16.4.6、16.10.1で修正済み
- データベース情報の漏洩や改ざんの可能性
XWikiのREST APIにおけるSQLインジェクション脆弱性(CVE-2025-32969)
XWikiは、REST APIのクエリエンドポイントにSQLインジェクションの脆弱性(CVE-2025-32969)が存在することを2025年4月23日に発表した。この脆弱性により、リモートの認証されていないユーザーがHQL実行コンテキストからエスケープし、データベースバックエンドで任意のSQLステートメントを実行するブラインドSQLインジェクションを実行する可能性がある。
この問題は、”Prevent unregistered users from viewing pages, regardless of the page rights” および “Prevent unregistered users from editing pages, regardless of the page rights” オプションが有効になっている場合でも発生する。攻撃者は、使用されているデータベースバックエンドに応じて、データベースからパスワードハッシュなどの機密情報を取得したり、UPDATE/INSERT/DELETEクエリを実行したりする可能性がある。
この脆弱性は、バージョン15.10.16、16.4.6、および16.10.1で修正されている。XWikiをアップグレードする以外に既知の回避策はない。
脆弱性の詳細と影響
| 項目 | 詳細 |
|---|---|
| CVE ID | CVE-2025-32969 |
| 脆弱性 | SQLインジェクション |
| 対象 | XWikiプラットフォームのREST APIクエリエンドポイント |
| 影響 | データベース情報の漏洩、データ改ざん |
| CVSSスコア | 9.3 (CRITICAL) |
| 対策 | XWikiのバージョンを15.10.16、16.4.6、または16.10.1以降にアップグレード |
SQLインジェクションについて
SQLインジェクションとは、アプリケーションがデータベースに送信するSQLクエリに、悪意のあるSQLコードを挿入する攻撃手法のことを指す。主な特徴は以下の通りだ。
- データベースへの不正アクセス
- データの改ざんや削除
- 認証回避
SQLインジェクション攻撃を防ぐためには、入力値の検証とエスケープ処理が不可欠である。また、データベースのアクセス権限を最小限に抑えることも重要だ。
XWikiのSQLインジェクション脆弱性に関する考察
XWikiのREST APIにおけるSQLインジェクション脆弱性は、認証されていないリモートユーザーが悪用できるため、非常に深刻な問題だ。特に、機密情報がデータベースに保存されている場合、その漏洩は組織に大きな損害をもたらす可能性があるだろう。
この脆弱性に対する対策として、XWikiのアップグレードが推奨されているが、迅速な対応が難しい場合もある。そのような状況においては、WAF(Web Application Firewall)を導入し、SQLインジェクション攻撃を検知・防御することが有効な対策となるだろう。
今後は、開発段階でのセキュリティテストの強化や、脆弱性情報の早期共有が重要になる。また、XWikiのようなオープンソースソフトウェアにおいては、コミュニティ全体でのセキュリティ意識の向上が不可欠だ。
参考サイト/関連サイト
- CVE.「CVE Record: CVE-2025-32969」.https://www.cve.org/CVERecord?id=CVE-2025-32969, (参照 2025-05-02).
