概要
Adianti Framework 5.5.0 および 5.6.0 の SystemProfileForm に おいて、name フィールド を 経由 した SQL インジェクション 脆弱性 が 存在 します。認証 済み ユーザー が プロファイル 編集 エンドポイント に 細工 した SQL 文 を 送信 する こと で、ユーザー 認証 情報 を 変更 し 管理者 権限 を 奪取 できます。Adianti Framework は PHP ベース の Web アプリケーション 開発 フレームワーク で あり、業務 システム の 構築 に 利用 されて います。プロファイル 編集 と いう 一般的 な 機能 から 権限 昇格 が 可能 な 点 が 特に 深刻 です。
影響 の 範囲
SQL インジェクション は データベース に 対する 最も 深刻 な 攻撃 の 一つ です。攻撃者 は データベース 内 の 全 テーブル の 読み取り、ユーザー 認証 情報 の 窃取、データ の 改ざん、場合 に よって は データベース サーバー 上 で の コマンド 実行 が 可能 です。本 脆弱性 は レガシー バージョン の ソフトウェア に 存在 し ます が、アップデート されて いない 環境 で は 依然 と して リスク が あります。特に 管理者 権限 の 奪取 が 可能 な ため、システム 全体 の 制御 が 攻撃者 に 渡る 恐れ が あります。業務 システム で 利用 されて いる 場合、顧客 データ や 取引 情報 など の 重要 な ビジネス データ が 漏洩 する リスク も あります。最新 バージョン へ の 移行 が 推奨 されます。
CVSS ベクトル
| 項目 | 値 |
|---|---|
| CVSS スコア | 7.1(High) |
| 攻撃 元区分 | ネットワーク |
| 必要 な 特権 | 低(認証 済み) |
| CWE | CWE-89(SQL インジェクション) |
影響 を 受ける ソフトウェア
| 製品 | ベンダー | 影響 バージョン |
|---|---|---|
| Adianti Framework | Adianti | 5.5.0, 5.6.0 |
修正 バージョン と 回避策
- 修正: 最新 バージョン へ アップデート する こと を 推奨 します
関連 リンク
データソース: NVD (NIST) AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。