SugarCRM Inc. が提供する「SugarCRM」は、顧客管理を行うソフトウェアです。「SugarCRM」には、オープンソース版と有償版があります。

　「SugarCRM」には、データベースと通信する際の処理に問題がある、SQLインジェクションというセキュリティ上の弱点（脆弱性）が存在します。

　この弱点が悪用されると、「SugarCRM」の管理者権限が攻撃者に取得され、「SugarCRM」上に登録されている個人情報が漏えいしたり、データが削除されたりするなど、データベースを不正に操作されてしまう可能性があります。

　最新情報は、次のURLを参照下さい。
http://jvndb.jvn.jp/jvndb/JVNDB-2009-000056

　本脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき、2009年6月29日に以下の報告者からIPAが届出を受け、JPCERT/CC（一般社団法人 JPCERT コーディネーションセンター）が製品開発者と調整を行ない、2009年8月24日に公表したものです。
　 報告者：三井物産セキュアディレクション 寺田 健　氏

　「SugarCRM」によって構築されたウェブサイトが、ログインした攻撃者からSQL インジェクション攻撃を受けた場合、「SugarCRM」の管理者権限が攻撃者に取得され、「SugarCRM」上に登録されている個人情報が漏えいしたり、データが削除されたりするなど、データベースを不正に操作されてしまう可能性があります。

　対策方法は「開発者が提供する対策済みバージョンに更新する」ことです。

(1)評価結果

本脆弱性の深刻度	□ I（注意）	■ II（警告）	□ III（危険）
本脆弱性のCVSS基本値		6.5

(2)CVSS基本値の評価内容

AV：攻撃元区分	□ ローカル	□ 隣接	■ ネットワーク
AC：攻撃条件の複雑さ	□ 高	□ 中	■ 低
Au：攻撃前の認証要否	□ 複数	■ 単一	□ 不要
C：機密性への影響 　（情報漏えいの可能性）	□ なし	■ 部分的	□ 全面的
I：完全性への影響 　（情報改ざんの可能性）	□ なし	■ 部分的	□ 全面的
A：可用性への影響 　（業務停止の可能性）	□ なし	■ 部分的	□ 全面的

注）■：選択した評価結果
AV:AccessVector, AC:AccessComplexity, Au:Authentication,
C:ConfidentialityImpact, I:IntegrityImpact, A:AvailabilityImpact

　本脆弱性のCWE分類は、「SQLインジェクション（CWE-89）」です。

(1)「情報セキュリティ早期警戒パートナーシップ」について

　ソフトウェア製品及びウェブサイトの脆弱性対策を促進し、コンピュータウイルスやコンピュータ不正アクセス等によって、不特定多数のコンピュータ(パソコン）に対して引き起こされる被害を予防するため、経済産業省の告示に基づき、官民の連携体制「情報セキュリティ早期警戒パートナーシップ」を整備し運用しています（図6-1参照）。

　最新の届出状況は 「脆弱性関連情報に関する届出状況（プレスリリース）」 を参照下さい。

図6-1．「情報セキュリティ早期警戒パートナーシップ」の基本枠組み

プレスリリースのダウンロード

本件に関するお問い合わせ先

報道関係からのお問い合わせ先

更新履歴