← 戻る
CVE-2026-57955
high
CVSS 8.5
SigNoz through 0.130.1 contains a SQL injection vulnerability that allows authenticated attackers...
概要
SigNoz through 0.130.1 contains a SQL injection vulnerability that allows authenticated attackers...
AI要約 openai / gpt-4o
SigNoz バージョン0.130.1までにSQLインジェクションの脆弱性が存在し、認証された攻撃者がalert-historyエンドポイントのrule IDパスパラメータにURLエンコードされたクォートを注入することで、任意のClickHouseクエリを実行できる。これにより、保存されたトレース、ログ、メトリクスを読み取ったり、url()関数を悪用してサーバーサイドリクエストフォージェリを行うことが可能である。
❓ 何が問題か
SQLインジェクションの脆弱性
📍 影響範囲
SigNoz バージョン0.130.1までのalert-historyエンドポイント
🔥 重要度
攻撃者が任意のClickHouseクエリを実行可能
🔧 修正方法
最新バージョンへのアップデートと入力のエスケープ処理を導入
🛡️ 暫定回避
URLエンコードされた入力を無効化するフィルタを設定
🔍 検知方法
rule IDパラメータに不正なクォートが含まれていないかログを監視