概要
WeKnora(Tencent)は データベース管理 ツール です。バージョン 0.2.12 より 前 に おいて、PostgreSQL の 配列式(array expression)および 行式(row expression)の 子ノード に 対する 再帰的 な 検査 が 不十分 で ある 脆弱性 が 存在 します。
この 不備 に より、SQL インジェクション 防御 が バイパス され、攻撃者 は リモートコード実行(RCE)を 達成 する こと が 可能 です。CWE-89(SQL Injection)に 分類 される この 脆弱性 は、データベース に 直接 アクセス できる 環境 に おいて 極めて 深刻 な 影響 を もたらします。
WeKnora を 使用 して いる 環境 で は、直ちに バージョン 0.2.12 以降 へ の アップデート が 必要 です。
CVSSベクトル
| 項目 | 値 |
|---|---|
| CVSSスコア | 9.9 |
| 深刻度 | Critical |
| CWE | CWE-89 (SQLインジェクション) |
影響を受けるソフトウェア
| 製品 | ベンダー | 影響バージョン |
|---|---|---|
| WeKnora | Tencent | 0.2.12 より前 |
修正バージョンと回避策
- 修正バージョン: WeKnora 0.2.12 以降 へ の アップデート
- 暫定回避策: 外部 から の データベース 接続 を ファイアウォール で 制限 し、信頼 できる ネットワーク から のみ アクセス を 許可 する
関連リンク
データソース: NVD (NIST) AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。