MEDIUMCVE-2024-6908

管理者が手動PUTリクエストを使用してSuperAdmin権限に昇格できる

プラットフォーム

other

コンポーネント

yugabyte-db

修正版

2.14.18

2.16.10

2.18.7.0

2.20.3.0

AI Confidence: highNVDEPSS 0.1%レビュー済み: 2026年5月

NVDで見る

保存

CVE-2024-6908は、YugabyteDB Anywhereにおける特権昇格の脆弱性です。認証された管理者ユーザーが、細工されたHTTPリクエストを送信することで、SuperAdmin権限を不正に取得できる可能性があります。この脆弱性は、YugabyteDB Anywhereのバージョン2.14.0.0から2.20.3.0に影響を与えます。バージョン2.20.3.0へのアップグレードで修正されています。

影響と攻撃シナリオ

この脆弱性を悪用されると、攻撃者は認証された管理者アカウントを取得し、その権限をSuperAdminに昇格させることができます。SuperAdmin権限を持つことで、攻撃者はYugabyteDB Anywhereのすべての機能にアクセスし、データを改ざんしたり、システムを完全に制御したりすることが可能になります。機密情報への不正アクセス、データの損失、システムの停止など、深刻な影響を引き起こす可能性があります。この脆弱性は、Yugabyte Platformの他のコンポーネントにも影響を及ぼす可能性があります。

悪用の状況

この脆弱性は、2024年7月19日に公開されました。現時点では、公開されているPoCは確認されていませんが、特権昇格の脆弱性であるため、悪用される可能性は否定できません。CISA KEVリストへの登録状況は不明です。攻撃者による悪用が確認された場合、迅速な対応が必要です。

リスク対象者翻訳中…

Organizations utilizing YugabyteDB Anywhere in production environments, particularly those with administrative users who have broad privileges, are at risk. This includes deployments where access controls are not strictly enforced and where the principle of least privilege is not consistently applied. Shared hosting environments utilizing YugabyteDB Anywhere may also be vulnerable if administrative accounts are not properly isolated.

攻撃タイムライン

2024-07-19Disclosure
disclosure

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

EPSS

0.05% (16% パーセンタイル)

CISA SSVC

悪用状況none

自動化可能no

技術的影響total

影響を受けるソフトウェア

コンポーネントyugabyte-db

ベンダーYugabyteDB

影響範囲修正版

2.14.0.0 – 2.14.17.02.14.18

2.16.0.0 – 2.16.9.02.16.10

2.18.0.0 – 2.18.7.02.18.7.0

2.20.0.0 – 2.20.3.02.20.3.0

弱点分類 (CWE)

CWE-269

タイムライン

予約済み2024-07-18
公開日2024-07-19
更新日2024-08-01
EPSS 更新日2026-04-02

緩和策と回避策

この脆弱性への対応策として、YugabyteDB Anywhereをバージョン2.20.3.0以降にアップグレードすることを推奨します。アップグレードが困難な場合は、HTTPリクエストの入力検証を強化し、管理者権限の昇格を防止するカスタムのアクセス制御ルールを実装することを検討してください。WAF（Web Application Firewall）を使用して、悪意のあるHTTPリクエストをブロックすることも有効です。アップグレード後、システムログを監視し、不正なアクセス試行がないか確認してください。

修正方法翻訳中…

Actualice YugabyteDB Anywhere a la última versión disponible. Las versiones 2.14.18.0, 2.16.10.0, 2.18.7.0 y 2.20.3.0 o superiores contienen la corrección para esta vulnerabilidad. Esto evitará que usuarios administradores escalen sus privilegios a SuperAdmin mediante solicitudes HTTP manipuladas.

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2024-6908 — 特権昇格 in YugabyteDB Anywhereとは何ですか？

CVE-2024-6908は、YugabyteDB Anywhereの認証された管理者ユーザーが、細工されたHTTPリクエストによりSuperAdmin権限を昇格させられる脆弱性です。

CVE-2024-6908 in YugabyteDB Anywhereに影響を受けますか？

YugabyteDB Anywhereのバージョン2.14.0.0から2.20.3.0を使用している場合は、影響を受ける可能性があります。

CVE-2024-6908 in YugabyteDB Anywhereを修正するにはどうすればよいですか？

YugabyteDB Anywhereをバージョン2.20.3.0以降にアップグレードしてください。

CVE-2024-6908は積極的に悪用されていますか？

現時点では、公開されているPoCは確認されていませんが、悪用される可能性は否定できません。

CVE-2024-6908に関するYugabyteの公式アドバイザリはどこで入手できますか？

Yugabyteの公式アドバイザリは、Yugabyteのセキュリティ情報ページで確認できます。