数百の市や町で使用されている会計ソフトウェアに、研究者によって2つの重大な脆弱性が発見されました。
影響を受けたアプリケーションはWorkhorse Software Servicesによって提供されており、ウィスコンシン州の310の自治体にソフトウェアソリューションを提供しています。ベンダーは通知を受けた後、パッチと緩和策をリリースしました。
これらの脆弱性は、Sparrow IT Solutionsの研究者James Harrold氏によって発見され、今週カーネギーメロン大学のCERT Coordination Center(CERT/CC)によって公開されました。
1つ目の欠陥(CVE-2025-9037)は、SQLサーバー接続の認証情報が平文ファイルに保存されていることに関連する情報漏洩の問題であり、このファイルは通常、共有ネットワークフォルダ内にあります。
2つ目の問題(CVE-2025-9040)は、ログイン画面からアクセス可能なデータベースバックアップ機能に関連しており、暗号化されていないデータベースバックアップファイルを作成できるため、後で任意のSQLサーバーでパスワードなしで復元することができます。
このデータベースバックアップは、Workhorseソフトウェアが動作しているデバイスに物理的にアクセスできる人や、システム上に存在するマルウェアによってコピーされる可能性があります。
「攻撃者は完全なデータベースを取得できるため、社会保障番号、自治体の完全な財務記録、その他の機密情報など、個人を特定できる機微な情報(PII)が漏洩する可能性があります」とCERT/CCは述べています。「データベースバックアップを所持することで、データの改ざんが可能となり、監査証跡が損なわれ、自治体の財務運営の完全性が危険にさらされる可能性もあります。」
バージョン1.9.4.48019で脆弱性が修正されており、緩和策も利用可能です。パッチと緩和策のリリースに加え、Workhorseは、SQL認証方式の選択は顧客の責任であり、問題となったバックアップ機能は常にオプションであったことを指摘しています。
広告。スクロールして続きをお読みください。