Curl RTEにおけるSQLite脆弱性（CVE-2025-6965）に関する注意喚起のご案内

平素より弊社製品ならびにサービスをご利用いただき、誠にありがとうございます。
このたびSQLiteに関して公表された脆弱性（CVE-2025-6965）について、Curl製品との関係を含め、注意喚起のご案内をいたします。

■ 脆弱性概要（CVE-2025-6965）

影響を受けるバージョン	SQLite 3.50.2 より前のすべてのバージョン
深刻度	CVSSスコア 7.2（High）
参考情報	https://www.cve.org/CVERecord?id=CVE-2025-6965

概要

集計関数（SUM、AVG、COUNT等）の項目数がテーブルの列数を超える場合に、内部処理の不整合が発生し、以下の問題を引き起こす可能性があります。

数値の切り捨て（CWE-197: Numeric Truncation Error）
メモリ破損によるアプリケーションの異常終了

問題が発生するSQLパターンの例

-- 列数：1

CREATE TABLE sales (
    amount INTEGER
);


-- 集計項目数：5（列数を超過）

SELECT
    SUM(amount),
    AVG(amount),
    MIN(amount),
    MAX(amount),
    COUNT(amount)
FROM sales;
            

■ Curl RTEへの影響

【結論】Curl RTE自体は本脆弱性の影響を受けません

Curl RTEは内部でSQLiteを使用していません。
Curl RTEは「CurlアプリケーションがSQLiteを利用するためのAPI」を提供する立場であり、SQLiteを実際に利用するのはCurlアプリケーション側です。

脆弱性発動時のCurlアプリケーションの挙動

以下のような例外が発生します：

「非null値が要求されている箇所 (0x5CCE8F24) に、nullを使用しようとしています。」

■ 影響を受ける可能性があるCurlアプリケーション

以下のすべての条件に該当する場合、影響を受ける可能性があります。

該当CurlアプリケーションはCurl RTE 8.0.15または過去のバージョンを利用している
該当CurlアプリケーションはCurl RTEのSQLite APIを利用している
集計項目数がテーブルの列数を超えるSQLを実行する可能性がある
外部からの入力値を含むSQLを動的に生成している
該当Curlアプリケーションが攻撃者に利用される可能性がある

■ 推奨対応

【即時対応】

アプリケーション内のSQL実行箇所を確認し、集計項目数がテーブル列数を超える可能性がないか点検してください
外部入力を含むSQLについては、パラメータ化クエリの使用を推奨します

【恒久対応】

SQLiteライブラリの3.50.2以降へのアップデートを対応中であり、Curl RTE 8.0.16以降で対応する予定です。アップデート時期や方法については、弊社お問い合わせフォームよりご相談ください

■ まとめ

Curl RTE自体はSQLiteを使用しないため、本脆弱性の対象外です
影響の有無は、各CurlアプリケーションのSQLite API利用状況により判断が必要です
上記「影響を受ける可能性があるCurlアプリケーション」に該当する場合は、SQL実装の見直しをご検討ください