概要
Newsbull Haber Script 1.0.0 の search パラメータ に 複数 の SQL インジェクション 脆弱性 が 存在 します。/admin/comment/records、/admin/category/records、/admin/news/records、/admin/menu/childs エンドポイント で、時間 ベース、ブラインド、ブール ベース の インジェクション が 可能 です。複数 の エンドポイント が 影響 を 受ける こと から、入力 値 の バリデーション が システム 全体 で 不十分 で ある こと が 示唆 されます。管理 画面 の 検索 機能 を 通じて データベース の 内容 を 段階的 に 抽出 できます。
影響 の 範囲
SQL インジェクション は データベース に 対する 最も 深刻 な 攻撃 の 一つ です。攻撃者 は データベース 内 の 全 テーブル の 読み取り、ユーザー 認証 情報 の 窃取、データ の 改ざん、場合 に よって は データベース サーバー 上 で の コマンド 実行 が 可能 です。本 脆弱性 は レガシー バージョン の ソフトウェア に 存在 し ます が、アップデート されて いない 環境 で は 依然 と して リスク が あります。ニュース サイト の CMS で は 記事 コンテンツ、ユーザー の 個人 情報、管理者 アカウント など が データベース に 保存 されて おり、漏洩 時 の 影響 は 大きい です。最新 バージョン へ の 移行 が 推奨 されます。
CVSS ベクトル
| 項目 | 値 |
|---|---|
| CVSS スコア | 7.1(High) |
| 攻撃 元区分 | ネットワーク |
| 必要 な 特権 | 低(認証 済み) |
| CWE | CWE-89(SQL インジェクション) |
影響 を 受ける ソフトウェア
| 製品 | ベンダー | 影響 バージョン |
|---|---|---|
| Newsbull Haber Script | Newsbull | 1.0.0 |
修正 バージョン と 回避策
- 修正: 修正 バージョン は 確認 されて いません
- 回避策: WAF の 導入 を 検討 する
関連 リンク
データソース: NVD (NIST) AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。