LOWCVE-2024-48944CVSS 2.5

Apache Kylin サーバーサイドリクエストフォージェリ (SSRF) via `/kylin/api/xxx/diag` エンドポイント

プラットフォーム

java

コンポーネント

org.apache.kylin:kylin-common-server

修正版

5.0.2

AI Confidence: highNVDEPSS 0.1%レビュー済み: 2026年5月

NVDで見る

保存

CVE-2024-48944は、Apache Kylinにおけるサーバーサイドリクエストフォージェリ（SSRF）脆弱性です。攻撃者は、Kylinサーバーを通じて別の内部ホストへのリクエストを偽装し、機密情報を漏洩させる可能性があります。この脆弱性は、Apache Kylinのバージョン5.0.0から5.0.1までのものに影響を与えます。バージョン5.0.2へのアップグレードでこの問題は修正されています。

影響と攻撃シナリオ

このSSRF脆弱性を悪用されると、攻撃者はKylinサーバーの管理者権限を取得し、内部ネットワーク上の他のサーバーに対して不正なリクエストを送信できます。これにより、機密情報（API診断情報など）が漏洩する可能性があります。攻撃者は、Kylinサーバーを足がかりに、内部ネットワークへの侵入を試みることも考えられます。この脆弱性は、Apache Log4Shellと同様に、内部ネットワークへのアクセス権を得るための足がかりとして悪用される可能性があります。

悪用の状況

この脆弱性は、2025年3月27日に公開されました。現時点では、KEV（Known Exploited Vulnerabilities）カタログには登録されていません。EPSS（Exploit Prediction Score System）のスコアは、現時点では不明です。公的なPoC（Proof of Concept）は確認されていませんが、SSRF脆弱性であるため、悪用される可能性は否定できません。

リスク対象者翻訳中…

Organizations running Apache Kylin versions 5.0.0 and prior, particularly those with internal services accessible from the Kylin server, are at risk. Shared hosting environments where multiple users share a Kylin instance are also vulnerable, as an attacker could potentially exploit the vulnerability through a compromised user account.

検出手順翻訳中…

• java / server: Monitor Kylin server logs for unusual outbound requests, particularly those targeting internal hosts or the /kylin/api/xxx/diag endpoint. Use network monitoring tools to detect suspicious connections originating from the Kylin server.

grep -i '/kylin/api/xxx/diag' /var/log/kylin/kylin.log

• java / supply-chain: Examine dependencies for known vulnerabilities that could be chained with this SSRF vulnerability. • generic web: Check for exposed internal services reachable from the Kylin server using tools like nmap or curl to identify potential targets for SSRF attacks.

攻撃タイムライン

2025-03-27Disclosure
disclosure

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

EPSS

0.14% (34% パーセンタイル)

影響を受けるソフトウェア

コンポーネントorg.apache.kylin:kylin-common-server

ベンダーosv

影響範囲修正版

5.0.0 – 5.0.15.0.2

5.0.05.0.2

弱点分類 (CWE)

CWE-918

タイムライン

予約済み2024-10-09
公開日2025-03-27
EPSS 更新日2026-04-02

緩和策と回避策

この脆弱性への最も効果的な対策は、Apache Kylinをバージョン5.0.2にアップグレードすることです。アップグレードが困難な場合は、Kylinサーバーのファイアウォールを設定し、不要なポートを閉じ、内部ネットワークへのアクセスを制限してください。また、WAF（Web Application Firewall）を導入し、SSRF攻撃を検知・防御するルールを設定することも有効です。API診断エンドポイントへのアクセスを制限することも重要です。

修正方法

Apache Kylin をバージョン 5.0.2 以降にアップデートしてください。このバージョンは、診断 API における SSRF 脆弱性を修正しています。アップデートにより、kylin サーバーへの管理者アクセス権を持つ攻撃者が他の内部ホストへのリクエストを偽装し、機密情報を取得することを防ぎます。

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2024-48944 — SSRF in Apache Kylinとは何ですか？

CVE-2024-48944は、Apache Kylinのバージョン5.0.0から5.0.1において、攻撃者が内部ホストへのリクエストを偽装し、情報漏洩を引き起こす可能性のあるSSRF脆弱性です。

CVE-2024-48944 in Apache Kylinに影響を受けますか？

Apache Kylinのバージョン5.0.0または5.0.1を使用している場合は、影響を受けます。バージョン5.0.2へのアップグレードを推奨します。

CVE-2024-48944 in Apache Kylinを修正するにはどうすればよいですか？

Apache Kylinをバージョン5.0.2にアップグレードしてください。アップグレードが難しい場合は、ファイアウォール設定やWAFの導入などの緩和策を検討してください。

CVE-2024-48944は積極的に悪用されていますか？

現時点では、積極的に悪用されているという報告はありませんが、SSRF脆弱性であるため、悪用される可能性は否定できません。

CVE-2024-48944に関するApache Kylinの公式アドバイザリはどこで入手できますか？

Apache Kylinの公式アドバイザリは、Apacheプロジェクトのウェブサイトで確認できます。詳細は、関連するセキュリティ通知を参照してください。