概要
ResourceSpace 8.6 の collection_edit.php に おいて、keywords パラメータ を 経由 した SQL インジェクション 脆弱性 が 存在 します。認証 済み ユーザー が POST リクエスト に 悪意 の ある SQL ペイロード を 注入 する こと で、スキーマ 名、ユーザー 認証 情報 など の 機密 データ を 抽出 できます。ResourceSpace は デジタル アセット 管理(DAM)システム と して 企業 や 組織 で 画像、動画、文書 など の メディア ファイル を 管理 する ため に 使用 されて います。コレクション 編集 機能 は 日常的 に 使用 される 機能 で あり、攻撃 の 入口 と なり やすい 箇所 です。
影響 の 範囲
SQL インジェクション は データベース に 対する 最も 深刻 な 攻撃 の 一つ です。攻撃者 は データベース 内 の 全 テーブル の 読み取り、ユーザー 認証 情報 の 窃取、データ の 改ざん、場合 に よって は データベース サーバー 上 で の コマンド 実行 が 可能 です。本 脆弱性 は レガシー バージョン の ソフトウェア に 存在 し ます が、アップデート されて いない 環境 で は 依然 と して リスク が あります。DAM システム に は 組織 の 重要 な デジタル 資産 が 保存 されて いる ため、データ の 漏洩 や 破壊 は 業務 に 大きな 影響 を 与えます。著作権 で 保護 された コンテンツ が 流出 した 場合、法的 な リスク も 発生 し ます。最新 バージョン へ の 移行 が 推奨 されます。
CVSS ベクトル
| 項目 | 値 |
|---|---|
| CVSS スコア | 7.1(High) |
| 攻撃 元区分 | ネットワーク |
| 必要 な 特権 | 低(認証 済み) |
| CWE | CWE-352 |
影響 を 受ける ソフトウェア
| 製品 | ベンダー | 影響 バージョン |
|---|---|---|
| ResourceSpace | ResourceSpace | 8.6 |
修正 バージョン と 回避策
- 修正: 最新 バージョン へ アップデート する こと を 推奨 します
関連 リンク
データソース: NVD (NIST) AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。