概要
code-projects が 提供 する Simple Laundry System バージョン 1.0 に おいて、 SQL インジェクション の 脆弱性 が 発見 されました。 この 脆弱性 は /modifymember.php の エンドポイント における firstName パラメータ に 存在 し、 攻撃者 が 細工 した 入力 を 送信 する こと で、 データベース に 対して 任意 の SQL クエリ を 実行 できる 可能性 が あります。 リモート から の 攻撃 が 可能 であり、 会員 情報 を 含む データベース の 機密 データ の 漏洩、 改ざん、 または 削除 に つながる おそれ が あります。 CWE-74(インジェクション) および CWE-89(SQL インジェクション) に 分類 される 問題 です。
この 脆弱性 は、 会員 情報 の 編集 機能 に おいて firstName パラメータ が 適切 に エスケープ されず に SQL クエリ に 直接 連結 される こと が 原因 です。 攻撃者 は この パラメータ を 操作 し、 データベース の テーブル 構造 を 把握 した うえ で、 全 会員 の 名前、 連絡先、 利用 履歴 など を 窃取 する こと が 可能 です。 また、 データベース の 書き込み 権限 が ある 場合 は、 データ の 改ざん や 削除 も 実行 可能 です。 ランドリー 管理 システム は 小規模 店舗 で 使用 される こと が 多く、 専任 の セキュリティ 担当者 が いない 環境 で 運用 される ケース が 想定 される ため、 脆弱性 が 長期間 放置 される リスク が あります。
CVSS ベクトル
| 項目 | 値 |
|---|---|
| CVSS スコア | 7.3 |
| 深刻度 | HIGH |
| 攻撃元区分 | ネットワーク |
| 攻撃条件の複雑さ | 低 |
| CWE | CWE-74, CWE-89 |
影響 を 受ける ソフトウェア
| 製品名 | ベンダー | 影響バージョン |
|---|---|---|
| Simple Laundry System | code-projects | 1.0 |
修正 バージョン と 回避策
- 修正: 現時点 で 修正 バージョン は 公開 されて いません。 ベンダー の 公式 サイト を 定期的 に 確認 し、 更新 が 提供 された 場合 は 速やかに 適用 して ください
- 回避策: WAF(Web Application Firewall) の 導入 により SQL インジェクション 攻撃 を フィルタリング する こと を 推奨 します。 firstName パラメータ に 対する 入力 バリデーション の 追加 および プリペアド ステートメント の 使用 を 検討 して ください
- 補足: 外部 に 公開 している 場合 は アクセス 制限 を 設ける こと が 重要 です。 データベース の バックアップ を 定期的 に 取得 して ください
関連リンク
データソース: NVD (NIST) AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。