JVNDB-2025-023624

 ClideyのWhoDBにおけるデータクエリロジックの特殊要素の不適切な中立化に関する脆弱性

WhoDBはオープンソースのデータベース管理ツールです。影響を受けるバージョンでは、アプリケーションがデータベース接続文字列へのパラメータインジェクションに対して脆弱であるため、攻撃者はアプリケーションが実行されているマシン上のローカルファイルを読み取ることができます。アプリケーションは、データベース接続URIを構築する際に文字列結合を用いますが、この処理は安全な方法で行われていません。そのため、ユーザー入力のエスケープやエンコードがされず、多くの場合ユーザーがURI文字列に任意のパラメータを注入可能になります。これらのパラメータは、利用されるライブラリによっては危険なものとなることがあります。特に、`github.com/go-sql-driver/mysql` ライブラリの `allowAllFiles` パラメータが危険です。これが `true` に設定されると、ライブラリはホストマシン上の任意のファイルで `LOAD DATA LOCAL INFILE` クエリの実行を許可します（この場合、WhoDBが動作しているマシンとなります）。攻撃者は、接続URIに `&allowAllFiles=true` を注入し、自身が管理するMySQLサーバへ接続させることで、ローカルファイルの読み取りを実行できます。この問題はバージョン0.45.0で修正されているため、すべてのユーザーにはアップグレードが推奨されています。既知の回避策はありません。

Clidey

• WhoDB 0.45.0 未満

本脆弱性の影響を受ける製品の詳細については、ベンダ情報および参考情報をご確認ください。

当該ソフトウェアが扱う全ての情報が外部に漏れる可能性があります。
また、当該ソフトウェアが扱う情報について、書き換えは発生しません。
さらに、当該ソフトウェアは停止しません。
そして、この脆弱性を悪用した攻撃の影響は、他のソフトウェアには及びません。

正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。

GitHub

• GitHub Advisory Database : Parameter injection in DB connection URIs leading to local file inclusion  Advisory  clidey/whodb  GitHub

1. データクエリロジックの特殊要素の不適切な中立化(CWE-943) [その他]

1. CVE-2025-24787

1. National Vulnerability Database (NVD) : CVE-2025-24787
2. 関連文書 : mysql/infile.go at 7403860363ca112af503b4612568c3096fecb466  go-sql-driver/mysql  GitHub

• [2026年01月06日]
    掲載