← 戻る
Webアプリケーション
CVE-2026-57955 high CVSS 8.5

SigNoz through 0.130.1 contains a SQL injection vulnerability that allows authenticated attackers...

概要

SigNoz through 0.130.1 contains a SQL injection vulnerability that allows authenticated attackers...

AI要約 openai / gpt-4o

SigNoz バージョン0.130.1までにSQLインジェクションの脆弱性が存在し、認証された攻撃者がalert-historyエンドポイントのrule IDパスパラメータにURLエンコードされたクォートを注入することで、任意のClickHouseクエリを実行できる。これにより、保存されたトレース、ログ、メトリクスを読み取ったり、url()関数を悪用してサーバーサイドリクエストフォージェリを行うことが可能である。
❓ 何が問題か
SQLインジェクションの脆弱性
📍 影響範囲
SigNoz バージョン0.130.1までのalert-historyエンドポイント
🔥 重要度
攻撃者が任意のClickHouseクエリを実行可能
🔧 修正方法
最新バージョンへのアップデートと入力のエスケープ処理を導入
🛡️ 暫定回避
URLエンコードされた入力を無効化するフィルタを設定
🔍 検知方法
rule IDパラメータに不正なクォートが含まれていないかログを監視

参照URL

🍪 Cookie について

当サイトはログイン状態の保持・言語設定・サービス改善のために Cookie を使用します。詳細は下記リンクをご確認ください。

詳細 →