CVE詳細 - CVE-2010-5326-

CVE-2010-5326 の詳細

CVEの情報

説明:
The Invoker Servlet on SAP NetWeaver Application Server Java platforms, possibly before 7.3, does not require authentication, which allows remote attackers to execute arbitrary code via an HTTP or HTTPS request, as exploited in the wild in 2013 through 2016, aka a "Detour" attack.

CVE更新日: 2016-05-13 10:59:00.173000

CVSSバージョン: 3.1

CVSSスコア: 10.0

KEVの情報

KEV更新日: 2021-11-03

EPSSの情報

EPSSは脆弱性が今後30日以内に悪用される確率を予測するスコアリングシステムで、FIRST（Forum of Incident Response and Security Teams）が提供しています。
EPSSのスコアが高いということは、攻撃されるリスクが高いことを意味するので、早めの対策が必要です。

EPSSスコア: 0.131790000

EPSS更新日: 2026-06-12 00:00:00

SSVCの情報

SSVCはカーネギーメロン大学ソフトウェア工学研究所が提案する脆弱性の評価手法です。ステークホルダーごとに脆弱性対応の優先度を決定することを支援します。
本サイトでは、CVE、KEV、EPSSの内容からExploitation（悪用状況）、Technical Impact（技術的影響）、Automatable（自動攻撃の可否）を判定します。

Exploitation: active

Technical Impact: high

Automatable: True

AIを使った解説

解説:

CVE-2010-5326について、以下の観点で解説します。

1. 脆弱性の概要

SAP NetWeaver Application Server JavaプラットフォームのInvoker Servletにおいて、認証を必要としない脆弱性です。この脆弱性を悪用すると、リモートの攻撃者がHTTPまたはHTTPSリクエストを介して任意のコードを実行できる可能性があります。この攻撃は「Detour」攻撃としても知られ、2013年から2016年にかけて実際に悪用されたことが確認されています。

1.1 影響

この脆弱性が悪用された場合、機密性、完全性、可用性のすべてにおいて深刻な影響が生じる可能性があります。リモートからの任意のコード実行により、攻撃者はシステムを完全に制御し、プログラムのインストール、データの閲覧、変更、削除、および完全なユーザー権限を持つ新しいアカウントの作成が可能になります。

1.2 深刻度

CVSS v3.1 Base Score: 10.0 (緊急 - Critical)
- Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H
- 解説: ネットワーク経由で、低い攻撃条件の複雑さで、特権を必要とせず、ユーザーの関与なしに攻撃が可能であり、スコープが変更され、機密性、完全性、可用性のすべてに高い影響があります。
CVSS v2.0 Base Score: 10.0 (緊急 - Critical)
- Vector: AV:N/AC:L/Au:N/C:C/I:C/A:C

2. 対象となる環境

2.1 影響を受けるOSバージョン

SAP NetWeaver Application Server Javaプラットフォームが影響を受けます。具体的には、バージョン7.3より前のプラットフォームが対象となる可能性があります。

2.2 影響を受ける設定

Invoker Servletが認証を必要としない設定が影響を受けます。これはデフォルト設定または一般的な構成ミスによるものです。

3. 影響を受けた時の兆候

システムがこの脆弱性の影響を受けた場合、以下のような兆候が考えられます。

予期せぬプロセスの実行や、不審なネットワーク通信の発生。
セキュリティソフトウェア（IDS/IPSなど）が「セキュリティ脆弱性の悪用の試み」を検知し、ログに記録する。
通常の運用ではありえない設定変更や、不審なファイルの作成・変更。
CISAのKnown Exploited Vulnerabilities Catalogに記載されているように、この脆弱性は「悪用が確認されている」ため、侵害の兆候を積極的に監視することが重要です。

4. 推奨対策

4.1 本対策

ベンダーであるSAPの指示に従って、関連するアップデートを適用することが最も重要な本対策です。 SAP Note 1445998「Update to IAIK-ECC-SSL-Provider」が参照されています。

4.2 暫定回避策（緩和策）

Invoker Servletへのアクセス制限: 認証を必要としないInvoker Servletへの外部からのアクセスを制限することが考えられます。ネットワークレベルでのアクセス制御（ファイアウォールなど）を用いて、信頼できるソースからのアクセスのみを許可するなどの対策が有効です。
不要なサービスの停止: 影響を受ける可能性のあるサービスで、ビジネス上不要なものは停止することを検討します。
監視の強化: システムのログ、ネットワークトラフィック、およびセキュリティイベントログを継続的に監視し、異常なアクティビティを早期に検出できる体制を強化します。

参照したサイト

NVD - CVE-2010-5326 Detail: https://nvd.nist.gov/vuln/detail/CVE-2010-5326
MergeBase Vulnerability Database - CVE-2010-5326: https://mergebase.com/vulnerability-database/CVE-2010-5326
Debian Security Tracker - CVE-2010-5326: https://security-tracker.debian.org/tracker/CVE-2010-5326
GitHub Advisory Database - CVE-2010-5326: https://github.com/advisories/CVE-2010-5326
Tenable® - CVE-2010-5326: https://www.tenable.com/cve/CVE-2010-5326
VULNDBASE - CVE-2010-5326: https://vulndbase.com/vulnerabilities/cve-2010-5326
SAP NetWeaver AS JAVA CVE-2010-5326: Missing Authentication for Critical Function: https://www.onapsis.com/blog/sap-netweaver-as-java-cve-2010-5326-missing-authentication-critical-function
セキュリティNOW! サイバーセキュリティ情報ポータルサイト - CVE-2010-5326: https://sms.datatake.jp/vulnerabilities/CVE-2010-5326
Security-Database - CVE-2010-5326: https://security-database.com/details/CVE-2010-5326/SAP-Netweaver-Application-Server-Java.html
CISA's Known Exploited Vulnerabilities Catalog: https://www.cisa.gov/known-exploited-vulnerabilities-catalog

NVDサイト

NVDでCVEの詳細を見る

戻る