概要
projectworlds Online Notes Sharing System 1.0 の login.php において、User パラメータ の 入力 検証 が 不十分 な ため、SQL インジェクション の 脆弱性 が 存在 します。リモート の 攻撃者 が この 脆弱性 を 悪用 する こと で、認証 を バイパス し、データベース の 内容 を 不正 に 読み取り、改ざん、削除 する リスク が あります。
CWE-89(SQL インジェクション)に 分類 される この 脆弱性 は、ユーザー 入力 の エスケープ 処理 や プリペアド ステートメント(パラメータ化 クエリ)の 使用 が 不十分 な こと に 起因 します。ログイン 画面 の User パラメータ が 対象 で あるため、認証 なし の 状態 で 攻撃 が 可能 です。
SQL インジェクション は Web アプリケーション に おける 最も 一般的 な 脆弱性 の 一つ で あり、攻撃者 は 特殊 な 文字列 を 入力 する こと で、アプリケーション が 意図 しない SQL 文 を データベース に 実行 させる こと が できます。ログイン 機能 が 対象 と なる 場合、管理者 アカウント へ の 不正 アクセス や、データベース 全体 の 情報 流出 が 発生 する 可能性 が あります。
CVSS ベクトル
| 項目 | 値 |
|---|---|
| CVSS スコア | 7.3 (High) |
| 攻撃元 | ネットワーク |
| 攻撃条件 の 複雑さ | 低 |
| 必要 な 権限 | 不要 |
| 影響 範囲 | 機密性・完全性・可用性 に 影響 |
| CWE | CWE-89 (SQL インジェクション) |
影響 を 受ける ソフトウェア
| 製品 | ベンダー | 影響 バージョン |
|---|---|---|
| Online Notes Sharing System | projectworlds | 1.0 |
修正 バージョン と 回避策
- 修正 バージョン: 未公表
- 暫定 回避策: WAF に よる SQL インジェクション パターン の 遮断。入力値 の サニタイズ と プリペアド ステートメント の 導入。アプリケーション を インターネット に 公開 している 場合 は、使用 停止 も 検討 してください
関連 リンク
データソース: NVD (NIST) AI解説 は Claude API に より 自動生成 されています。正確性 に ついては 原文 を ご確認 ください。