概要
Chanjet CRM 1.0 において、/tools/jxf_dump_systable.php エンドポイントの HTTP GET リクエストパラメータ gblOrgID を操作することで SQL インジェクション(CWE-89)が可能な脆弱性です。
エクスプロイトがすでに公開されており、ベンダーへの早期開示を行ったものの現時点で応答がなく、パッチも提供されていません。CVSSスコアは 7.3(High)で、リモートから認証なしに攻撃できる可能性があります。
CVSSベクトル
| 項目 | 値 |
|---|---|
| Attack Vector | Network |
| Attack Complexity | Low |
| Privileges Required | None |
| User Interaction | None |
| Scope | Unchanged |
| Confidentiality Impact | Low |
| Integrity Impact | Low |
| Availability Impact | Low |
影響を受けるソフトウェア
| 製品名 | ベンダー | 影響バージョン |
|---|---|---|
| Chanjet CRM | Chanjet | 1.0 |
修正バージョンと回避策
- パッチ: 2026年6月8日時点でベンダーからのパッチは確認されていません。
- 影響を受けるエンドポイントへの外部からのアクセスを Web アプリケーションファイアウォール(WAF)や IP 制限によって制限してください。
- ベンダーの公式情報を継続的にモニタリングし、パッチが提供された場合は速やかに適用してください。
関連リンク
データソース: NVD (NIST), GitHub Advisory Database
AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。