概要
eBrigade ERP 4.5 の pdf.php に おいて、id パラメータ を 経由 した SQL インジェクション 脆弱性 が 存在 します。認証 済み ユーザー が GET リクエスト に SQL ペイロード を 注入 する こと で、テーブル 名 や スキーマ 情報 を 含む データベース の 機密 情報 を 抽出 できます。eBrigade は 消防 隊 や 救急 サービス 向け の ERP システム で あり、緊急 対応 に 関わる 重要 な データ を 管理 して います。PDF 生成 機能 を 経由 した 攻撃 で あり、通常 の 業務 操作 の 中 で 悪用 される 可能性 が あります。GET リクエスト で 攻撃 が 可能 な ため、URL を 共有 する だけ で 攻撃 を 仕掛ける こと が できます。
影響 の 範囲
SQL インジェクション は データベース に 対する 最も 深刻 な 攻撃 の 一つ です。攻撃者 は データベース 内 の 全 テーブル の 読み取り、ユーザー 認証 情報 の 窃取、データ の 改ざん、場合 に よって は データベース サーバー 上 で の コマンド 実行 が 可能 です。本 脆弱性 は レガシー バージョン の ソフトウェア に 存在 し ます が、アップデート されて いない 環境 で は 依然 と して リスク が あります。緊急 対応 組織 の ERP システム で ある ため、隊員 の 個人 情報、出動 記録、連絡先 など の 機密 性 の 高い データ が 漏洩 する 恐れ が あります。人命 に 関わる 情報 を 扱う システム で ある ため、速やか な 対応 が 求められます。最新 バージョン へ の 移行 が 推奨 されます。
CVSS ベクトル
| 項目 | 値 |
|---|---|
| CVSS スコア | 7.1(High) |
| 攻撃 元区分 | ネットワーク |
| 必要 な 特権 | 低(認証 済み) |
| CWE | CWE-89(SQL インジェクション) |
影響 を 受ける ソフトウェア
| 製品 | ベンダー | 影響 バージョン |
|---|---|---|
| eBrigade ERP | eBrigade | 4.5 |
修正 バージョン と 回避策
- 修正: 最新 バージョン へ アップデート する こと を 推奨 します
関連 リンク
データソース: NVD (NIST) AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。