概要
itsourcecode が 提供 する Online Enrollment System バージョン 1.0 に おいて、 SQL インジェクション の 脆弱性 が 発見 されました。 この 脆弱性 は /sms/user/index.php?view=edit&id=10 の エンドポイント における USERID パラメータ に 存在 し、 攻撃者 が 細工 した 入力 を 送信 する こと で、 データベース に 対して 任意 の SQL クエリ を 実行 できる 可能性 が あります。 リモート から の 攻撃 が 可能 であり、 データベース 内 の 機密 情報 の 漏洩、 改ざん、 または 削除 に つながる おそれ が あります。 CWE-74(インジェクション) および CWE-89(SQL インジェクション) に 分類 される 問題 です。
この 脆弱性 は、 ユーザー 編集 画面 の USERID パラメータ が 適切 に サニタイズ されず に SQL クエリ に 直接 組み込まれる こと が 原因 です。 攻撃者 は UNION ベース や ブラインド SQL インジェクション の 手法 を 用いて、 学生 の 個人 情報、 成績 データ、 アカウント 認証 情報 など を 窃取 する こと が できます。 オンライン 入学 登録 システム は 教育 機関 で 使用 される こと が 多く、 大量 の 個人 情報 を 扱う ため、 情報 漏洩 が 発生 した 場合 の 影響 は 深刻 です。 認証済み の ユーザー が アクセス 可能 な 画面 に 脆弱性 が 存在 する ため、 内部 攻撃者 による 悪用 リスク も 考慮 する 必要 が あります。
CVSS ベクトル
| 項目 | 値 |
|---|---|
| CVSS スコア | 7.3 |
| 深刻度 | HIGH |
| 攻撃元区分 | ネットワーク |
| 攻撃条件の複雑さ | 低 |
| CWE | CWE-74, CWE-89 |
影響 を 受ける ソフトウェア
| 製品名 | ベンダー | 影響バージョン |
|---|---|---|
| Online Enrollment System | itsourcecode | 1.0 |
修正 バージョン と 回避策
- 修正: 現時点 で 修正 バージョン は 公開 されて いません。 ベンダー の 公式 サイト を 定期的 に 確認 し、 更新 が 提供 された 場合 は 速やかに 適用 して ください
- 回避策: WAF(Web Application Firewall) の 導入 により SQL インジェクション 攻撃 を フィルタリング する こと を 推奨 します。 パラメータ の バリデーション および プリペアド ステートメント の 使用 を 検討 して ください
- 補足: 本 システム を 外部 公開 している 場合 は、 アクセス 制限 の 強化 や VPN 経由 での アクセス に 切り替える こと を 検討 して ください
関連リンク
データソース: NVD (NIST) AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。