LOWCVE-2024-21832CVSS 3.5

PingFederate REST API データストアインジェクション

プラットフォーム

other

コンポーネント

pingfederate

修正版

11.0.10

11.1.10

11.2.9

11.3.5

12.0.1

AI Confidence: highNVDEPSS 0.1%レビュー済み: 2026年5月

NVDで見る

保存

CVE-2024-21832は、PingFederateのREST APIデータストアにおけるJSONインジェクションの脆弱性です。攻撃者はPOSTメソッドとJSONリクエストボディを悪用し、予期せぬ動作を引き起こす可能性があります。この脆弱性はPingFederateのバージョン11.0.0から12.0.0に影響を与えます。PingFederate 12.0.1以降に修正されています。

影響と攻撃シナリオ

この脆弱性を悪用されると、攻撃者はPingFederateのREST APIを通じて不正なJSONデータを挿入し、データストアの動作を制御する可能性があります。これにより、機密情報の漏洩、認証情報の窃取、またはPingFederateの機能に対する不正なアクセスといった深刻な影響が考えられます。攻撃者は、挿入されたJSONデータを利用して、PingFederateの内部処理を改ざんし、より広範なシステムへのアクセスを試みる可能性があります。この脆弱性は、PingFederateを介して認証されたユーザーのデータやセッション情報が危険にさらされるリスクを高めます。

悪用の状況

CVE-2024-21832は、2024年7月9日に公開されました。現時点では、この脆弱性を悪用した具体的な攻撃事例は報告されていませんが、JSONインジェクションは比較的容易に悪用可能な脆弱性であるため、注意が必要です。CISA KEVリストへの登録状況は不明です。公開されているPoCは確認されていません。

リスク対象者翻訳中…

Organizations heavily reliant on PingFederate for single sign-on (SSO) and identity federation are at risk. Specifically, deployments utilizing the REST API for custom integrations or data synchronization are particularly vulnerable. Environments with weak input validation on the REST API endpoints are also at higher risk.

検出手順翻訳中…

• other / generic web:

curl -X POST -d '{"malicious_json": "test"}' <pingfederate_rest_api_endpoint> | grep -i "error"

• other / generic web:

# Check PingFederate logs for unusual JSON POST requests
zgrep -i "malicious_json" /path/to/pingfederate/logs/*

攻撃タイムライン

2024-07-09Disclosure
disclosure

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

インターネット露出高

EPSS

0.14% (34% パーセンタイル)

CISA SSVC

悪用状況none

自動化可能no

技術的影響partial

CVSS ベクトル

影響を受けるソフトウェア

コンポーネントpingfederate

ベンダーPing Identity

影響範囲修正版

11.0.0 – 11.0.911.0.10

11.1.0 – 11.1.911.1.10

11.2.0 – 11.2.811.2.9

11.3.0 – 11.3.411.3.5

12.0.0 – 12.0.012.0.1

弱点分類 (CWE)

CWE-94

タイムライン

予約済み2024-01-17
公開日2024-07-09
更新日2024-08-01
EPSS 更新日2026-04-02

緩和策と回避策

PingFederateのバージョンを12.0.1以降にアップグレードすることが最も効果的な対策です。アップグレードが困難な場合は、REST APIへの入力検証を強化し、不正なJSONデータの挿入を防止するWAF（Web Application Firewall）やプロキシサーバーのルールを導入することを検討してください。また、REST APIへのアクセスを制限し、信頼できるソースからのリクエストのみを受け入れるように設定することも有効です。PingFederateのログを監視し、異常なJSONリクエストのパターンを検出するためのカスタムアラートを設定することも推奨されます。

修正方法

PingFederateを、このJSONインジェクション脆弱性を修正する最新バージョンにアップデートしてください。修正されたバージョンとアップデート手順の詳細については、ベンダーのセキュリティアドバイザリを参照してください。リスクを軽減するために、セキュリティアップデートをできるだけ早く適用してください。

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2024-21832 — JSONインジェクションはPingFederateのどの製品に影響を与えますか？

CVE-2024-21832は、PingFederateのバージョン11.0.0から12.0.0に影響を与えるJSONインジェクションの脆弱性です。

CVE-2024-21832でPingFederateを使用している場合、影響を受けますか？

PingFederateのバージョンが11.0.0から12.0.0の場合、この脆弱性の影響を受ける可能性があります。12.0.1以降にアップグレードしてください。

CVE-2024-21832でPingFederateを修正するにはどうすればよいですか？

PingFederateをバージョン12.0.1以降にアップグレードすることが推奨されます。

CVE-2024-21832は現在積極的に悪用されていますか？

現時点では、CVE-2024-21832を悪用した具体的な攻撃事例は報告されていません。

CVE-2024-21832に関するPingFederateの公式アドバイザリはどこで入手できますか？

PingFederateの公式アドバイザリは、Ping Identityのセキュリティアドバイザリページで確認できます。

PingFederate REST API データストア インジェクション