概要
OneUptime に おける SQL インジェクション の 脆弱性 です。ClickHouse データベース へ の クエリ 構築 時 に ユーザー 入力 の サニタイゼーション が 不十分 な ため、攻撃者 が 任意 の SQL 文 を 注入 できて しまう 問題 が 存在 します。
CWE-89(Improper Neutralization of Special Elements used in an SQL Command)に 分類 される この 問題 は、先行 する CVE-2026-32306 の 修正 が 不完全 で あった こと に 起因 します。攻撃者 は ClickHouse に 保存 された 監視 データ の 閲覧、改変、削除 を 行う 可能性 が あり、運用 データ の 完全性 が 損なわれる おそれ が あります。
CVSSベクトル
| 項目 | 値 |
|---|---|
| CVSSスコア | 8.1 (High) |
| CWE | CWE-89(SQLインジェクション) |
| 攻撃元区分 | ネットワーク |
| 攻撃条件の複雑さ | 低 |
| 必要な権限 | 低 |
| ユーザー操作 | 不要 |
影響を受けるソフトウェア
- OneUptime(10.0.34 未満)
修正バージョンと回避策
- 修正バージョン: 10.0.34 以降 へ アップデート してください
- 暫定回避策: ClickHouse へ の 接続 権限 を 最小限 に 設定 する。WAF で SQL インジェクション パターン を フィルタ する
関連リンク
データソース: NVD (NIST)
AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。