MEDIUMCVE-2024-22133CVSS 4.6

Drupal コメントモジュールDoS脆弱性 (CVE-2024-22133) | 9.5.9まで

プラットフォーム

sap

コンポーネント

sap-fiori-front-end-server

修正版

605.0.1

AI Confidence: highNVDEPSS 0.4%レビュー済み: 2026年4月

NVDで見る

保存

Drupal のコメントモジュールにおける脆弱性により、攻撃者は意図的に大量のコメント返信リクエストを送信することで、システムを過負荷状態にし、サービス拒否 (DoS) 攻撃を引き起こす可能性があります。この問題は、Drupal Core のバージョン 9.5.9 以前に影響を与えます。現在、10.1.8 で修正されており、アップデートを推奨します。

影響と攻撃シナリオ

SAP Fiori Front End Server (バージョン605) の CVE-2024-22133 は、休業申請情報を送信する際に、読み取り専用フィールドで承認者の詳細を変更することを許可します。攻撃者はこれを悪用して、承認者が間違っている申請を作成し、機密性と完全性への影響は低いものの、可用性への影響はありません。これにより、許可されていない担当者が申請を承認し、ワークフロープロセスが中断される可能性があります。この脆弱性は、適切な入力検証の欠如に起因し、承認者フィールドの悪意のある変更を可能にします。影響は比較的低いものの、誤った承認とデータ操作の可能性は、迅速な修正を正当化します。この脆弱性に対処しないと、運用上の非効率性と、休業管理に関連する潜在的なセキュリティ侵害につながる可能性があります。

悪用の状況

この脆弱性は、休業申請の送信プロセス中に、読み取り専用フィールド内の承認者の詳細を変更することで悪用されます。これは、申請を送信する前に操作するか、ユーザーインターフェイスの欠陥を利用することによって潜在的に実現できます。攻撃者は SAP Fiori Front End Server へのアクセスと、休業申請ワークフローに関するある程度の知識が必要です。成功した悪用により、攻撃者は休業申請を許可されていない承認者にリダイレクトできる可能性があり、不正確な承認とワークフローの中断につながる可能性があります。影響は低いと分類されていますが、データ操作とワークフロー干渉の可能性は、即時のパッチを正当化します。

リスク対象者翻訳中…

Organizations utilizing SAP Fiori Front End Server version 605, particularly those with complex leave request approval workflows, are at risk. Environments with limited access controls or inadequate input validation are especially vulnerable.

検出手順翻訳中…

• linux / server:

journalctl -u fiori -g "leave request"

• generic web:

curl -I https://<fiori_server>/ | grep -i 'approver:'

攻撃タイムライン

2024-03-12Disclosure
disclosure

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

インターネット露出高

EPSS

0.36% (58% パーセンタイル)

CISA SSVC

悪用状況none

自動化可能no

技術的影響partial

CVSS ベクトル

影響を受けるソフトウェア

コンポーネントsap-fiori-front-end-server

ベンダーSAP_SE

影響範囲修正版

605 – 605605.0.1

弱点分類 (CWE)

CWE-863

タイムライン

予約済み2024-01-05
公開日2024-03-12
更新日2024-08-01
EPSS 更新日2026-04-02

緩和策と回避策

CVE-2024-22133 の推奨される軽減策は、SAP Fiori Front End Server をバージョン 605.0.1 以降に更新することです。SAP は、更新プロセスを詳細に説明し、追加情報を提供するセキュリティノートをリリースしました。このパッチをできるだけ早く適用することが、悪用のリスクを最小限に抑えるために重要です。さらに、試行的な悪用の兆候となる可能性のある、システム監査ログをチェックしてください。堅牢なアクセス制御を実装し、システムを継続的に監視することは、補完的なセキュリティ対策です。更新を適用した後、休業申請承認プロセスが期待どおりに機能することを確認してください。潜在的な脆弱性を積極的に特定して対処するために、定期的なセキュリティ評価と脆弱性スキャンも推奨されます。

修正方法翻訳中…

Actualice SAP Fiori Front End Server a una versión posterior a la 605 que contenga la corrección para este problema. Consulte la nota SAP 3417399 para obtener más detalles e instrucciones específicas sobre la actualización.

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2024-22133 とは何ですか？（SAP Fiori Front End Server）

この脆弱性の影響を受けるのは、SAP Fiori Front End Server のバージョン 605 です。

SAP Fiori Front End Server の CVE-2024-22133 による影響を受けていますか？

最大の影響は機密性と完全性に限定され、可用性への影響はありません。

SAP Fiori Front End Server の CVE-2024-22133 を修正するにはどうすればよいですか？

システム構成設定でサーバーのバージョンを確認できます。

CVE-2024-22133 は積極的に悪用されていますか？

SAP セキュリティノートは SAP サポートポータルで確認できます。

CVE-2024-22133 に関する SAP Fiori Front End Server の公式アドバイザリはどこで確認できますか？

組織のセキュリティチームに直ちに連絡し、インシデント対応手順に従ってください。