概要
Dolibarr ERP-CRM 8.0.4 の admin/dict.php エンドポイント に おいて、rowid POST パラメータ を 経由 した SQL インジェクション 脆弱性 が 存在 します。認証 済み ユーザー が エラー ベース の SQL インジェクション を 利用 して、データベース から 機密 情報 を 抽出 できます。Dolibarr は 企業 の 業務 管理 に 広く 使用 される ERP-CRM ソフトウェア で あり、顧客 情報、請求書、会計 データ など の 重要 な ビジネス データ を 管理 して います。エラー メッセージ に データベース の 内部 情報 が 含まれる ため、攻撃者 は 段階的 に データ を 窃取 できます。
影響 の 範囲
SQL インジェクション は データベース に 対する 最も 深刻 な 攻撃 の 一つ です。攻撃者 は データベース 内 の 全 テーブル の 読み取り、ユーザー 認証 情報 の 窃取、データ の 改ざん、場合 に よって は データベース サーバー 上 で の コマンド 実行 が 可能 です。本 脆弱性 は レガシー バージョン の ソフトウェア に 存在 し ます が、アップデート されて いない 環境 で は 依然 と して リスク が あります。ERP システム に は 取引先 情報、従業員 データ、財務 情報 など の 機密 データ が 集約 されて いる ため、情報 漏洩 時 の 影響 は 甚大 です。最新 バージョン へ の 移行 が 推奨 されます。
CVSS ベクトル
| 項目 | 値 |
|---|---|
| CVSS スコア | 8.2(High) |
| 攻撃 元区分 | ネットワーク |
| 攻撃 条件 の 複雑さ | 低 |
| 必要 な 特権 | 不要 |
| CWE | CWE-89(SQL インジェクション) |
影響 を 受ける ソフトウェア
| 製品 | ベンダー | 影響 バージョン |
|---|---|---|
| Dolibarr ERP-CRM | Dolibarr | 8.0.4 |
修正 バージョン と 回避策
- 修正: 最新 バージョン へ アップデート する こと を 推奨 します
- 回避策: admin エンドポイント へ の アクセス 制限 を 強化 する
関連 リンク
データソース: NVD (NIST) AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。