出典: Security NEXT – https://www.security-next.com/177593
Progress製DB接続ドライバ「DataDirect」に複数の脆弱性が判明
2025年11月21日、Progress Softwareのデータベース接続ドライバ「DataDirect」に複数の重大な脆弱性が公開されました。これらの脆弱性は、主にJDBCドライバや関連クライアント製品に影響を及ぼし、悪用されると任意コードの実行やファイル書き込みが可能となる恐れがあります。
主要なポイント
- SpyAttributes機能に2件の脆弱性が発見:「CVE-2025-10702」と「CVE-2025-10703」が特定され、どちらもJDBC接続時の文字列操作を悪用することで攻撃が可能です。
- 任意コード実行の脆弱性(CVE-2025-10702): 攻撃者が任意のクラスを指定し、制限なしにコンストラクタを実行できるため、アプリケーションサーバ上で不正なコードが動作するリスクがあります。
- 任意ファイル書き込みの脆弱性(CVE-2025-10703): 攻撃者が細工した文字列を用いて任意のスクリプトを所定の場所に生成し、これによりコード実行が可能となる恐れがあります。
- 脆弱性の重要度は「高(High)」: CVSSv4.0のベーススコアは8.6で、4段階中2番目に高い評価が付けられています。
- アップデートの提供と推奨: Progress Softwareは各プラットフォーム向けに修正パッチをリリースしており、利用者には速やかな最新版への更新が強く推奨されています。
技術的な詳細や背景情報
「DataDirect」は、アプリケーションとデータベース間の接続を担うドライバ群であり、特にJDBC(Java Database Connectivity)ドライバはJavaアプリケーションからデータベースへアクセスする際に広く利用されています。今回の脆弱性は「SpyAttributes」機能に存在し、これは内部的にオブジェクトの属性を監視・操作するための機能です。
「CVE-2025-10702」では、攻撃者がJDBC接続時に送信する文字列を細工し、任意のJavaクラスのコンストラクタを制限なく呼び出せるため、サーバ上で任意コードが実行される可能性があります。これはリモートコード実行(RCE)に該当し、非常に危険な脆弱性です。
「CVE-2025-10703」は、同様に細工された文字列を利用して任意のファイルを書き込むことが可能であり、悪意あるスクリプトをサーバ上に設置して実行させることができるため、システムの完全な乗っ取りにもつながりかねません。
影響や重要性
これらの脆弱性は、企業の重要なデータベース接続基盤に影響を与えるため、情報漏洩やシステムの不正操作、サービス停止など深刻な被害を引き起こす可能性があります。特にJDBCドライバは多くの業務システムで利用されているため、影響範囲は広範囲に及びます。
また、CVSSv4.0で「高(High)」評価を受けていることから、迅速な対応が求められます。攻撃者にとってはリモートから悪用可能なため、パッチ適用が遅れると被害拡大のリスクが高まります。
まとめ
Progress Softwareの「DataDirect」ドライバにおける複数の脆弱性は、JDBC接続時の文字列操作を悪用し、任意コード実行や任意ファイル書き込みを許す深刻な問題です。利用者は速やかに提供されたアップデートを適用し、システムの安全性を確保することが重要です。
今後もデータベース接続ドライバのセキュリティには注意を払い、定期的なアップデートと脆弱性情報の確認を怠らないようにしましょう。
