| Title | WhoDBのデータベース接続URIパラメータインジェクションによるファイル読み取りの脆弱性 |
|---|---|
| Summary | WhoDBはオープンソースのデータベース管理ツールです。影響を受けるバージョンでは、アプリケーションがデータベース接続文字列へのパラメータインジェクションに対して脆弱であるため、攻撃者はアプリケーションが実行されているマシン上のローカルファイルを読み取ることができます。アプリケーションは、データベース接続URIを構築する際に文字列結合を用いますが、この処理は安全な方法で行われていません。そのため、ユーザー入力のエスケープやエンコードがされず、多くの場合ユーザーがURI文字列に任意のパラメータを注入可能になります。これらのパラメータは、利用されるライブラリによっては危険なものとなることがあります。特に、`github.com/go-sql-driver/mysql` ライブラリの `allowAllFiles` パラメータが危険です。これが `true` に設定されると、ライブラリはホストマシン上の任意のファイルで `LOAD DATA LOCAL INFILE` クエリの実行を許可します(この場合、WhoDBが動作しているマシンとなります)。攻撃者は、接続URIに `&allowAllFiles=true` を注入し、自身が管理するMySQLサーバへ接続させることで、ローカルファイルの読み取りを実行できます。この問題はバージョン0.45.0で修正されているため、すべてのユーザーにはアップグレードが推奨されています。既知の回避策はありません。 |
| Possible impacts | 当該ソフトウェアが扱う全ての情報が外部に漏れる可能性があります。 また、当該ソフトウェアが扱う情報について、書き換えは発生しません。 さらに、当該ソフトウェアは停止しません。 そして、この脆弱性を悪用した攻撃の影響は、他のソフトウェアには及びません。 |
| Solution | 正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。 |
| Publication Date | Feb. 6, 2025, midnight |
| Registration Date | Jan. 6, 2026, 10:54 a.m. |
| Last Update | Jan. 6, 2026, 10:54 a.m. |
| CVSS3.0 : 重要 | |
| Score | 7.5 |
|---|---|
| Vector | CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N |
| Clidey |
| WhoDB 0.45.0 未満 |
| No | Changed Details | Date of change |
|---|---|---|
| 1 | [2026年01月06日] 掲載 |
Jan. 6, 2026, 10:54 a.m. |
| Summary | WhoDB is an open source database management tool. In affected versions the application is vulnerable to parameter injection in database connection strings, which allows an attacker to read local files on the machine the application is running on. The application uses string concatenation to build database connection URIs which are then passed to corresponding libraries responsible for setting up the database connections. This string concatenation is done unsafely and without escaping or encoding the user input. This allows an user, in many cases, to inject arbitrary parameters into the URI string. These parameters can be potentially dangerous depending on the libraries used. One of these dangerous parameters is `allowAllFiles` in the library `github.com/go-sql-driver/mysql`. Should this be set to `true`, the library enables running the `LOAD DATA LOCAL INFILE` query on any file on the host machine (in this case, the machine that WhoDB is running on). By injecting `&allowAllFiles=true` into the connection URI and connecting to any MySQL server (such as an attacker-controlled one), the attacker is able to read local files. This issue has been addressed in version 0.45.0 and all users are advised to upgrade. There are no known workarounds for this vulnerability. |
|---|---|
| Publication Date | Feb. 7, 2025, 4:15 a.m. |
| Registration Date | Feb. 8, 2025, 4:02 a.m. |
| Last Update | Feb. 7, 2025, 5:15 a.m. |