概要
Talos は、Frappe 社の ERPNext アプリケーション(バージョン 10.1.6)に存在する複数の SQL インジェクションの脆弱性を開示します。Frappe 社の ERPNext はオープンソースの ERP クラウド アプリケーションです。これらの脆弱性により、攻撃者は認証を回避して機密データに不正アクセスできるようになります。攻撃者は、これらの脆弱性を標準的な Web ブラウザから引き起こすことができ、特別なツールは必要ありません。
詳細
脆弱性はそれぞれ、CVE-2018-3882 ~ CVE-2018-3885 の CVE ID に割り当てられています。攻撃者は以下のパラメータを使用して、SQL インジェクションを引き起こすことができます。
CVE-2018-3882 – searchfield パラメータ
query=erpnext.controllers.queries.
CVE-2018-3883 – employee パラメータ
cmd=erpnext.hr.doctype.leave_application.leave_application.
CVE-2018-3883 – sort_order パラメータ
cmd=erpnext.stock.dashboard.item_dashboard.
CVE-2018-3884 – sort_by パラメータ
cmd=erpnext.stock.dashboard.item_dashboard.
CVE-2018-3884 – start パラメータ
cmd=erpnext.stock.dashboard.item_dashboard.
CVE-2018-3885
cmd=frappe.desk.reportview.
技術的な詳細は Talos 脆弱性レポート 
でご覧いただけます。
カバレッジ
この悪意ある試行は、以下の Snort ルールにより検出可能です。今後、脆弱性に関する新たな情報が追加されるまでの間は、ルールが追加されたり、現行のルールが変更されたりする場合がありますのでご注意ください。最新のルールの詳細については、Firepower Management Center または Snort.org を参照してください。
Snort ルール:46165-46172
本稿は 2018年9月6日に Talos Group
Authors