概要
Song-Li cross_browser (コミット ca690f0 以前) に おいて、 flask/uniquemachine_app.py の details エンドポイント の ID パラメータ に SQL インジェクション 脆弱性 が 存在 します。 この 脆弱性 は リモート から 攻撃 が 可能 で あり、 攻撃者 が 細工 した リクエスト を 送信 する こと で、 データベース 内 の 情報 を 不正 に 取得、 改ざん、 削除 する こと が 可能 です。 ベンダー から の 応答 は 確認 されて おらず、 修正 パッチ の 提供 状況 は 不明 です。 この プロジェクト は ローリング リリース モデル を 採用 して おり、 特定 の バージョン 番号 による 修正 追跡 が 困難 な 状態 です。 Flask アプリケーション に おける SQL インジェクション は ORM の 適切 な 使用 や パラメータ化 クエリ に よって 防止 できます。 ブラウザ フィンガープリンティング に 関連 する ツール で あり、 収集 された ユーザー データ が 漏洩 する リスク が あります。 details エンドポイント は 個別 ユーザー の 情報 を 返す 機能 で あり、 攻撃者 が 全 ユーザー の データ を 一括 取得 する 危険性 も あります。
CVSS ベクトル
| 項目 | 値 |
|---|---|
| CVSS スコア | 7.3 |
| 深刻度 | HIGH |
| 攻撃元区分 | ネットワーク |
| 攻撃条件の複雑さ | 低 |
| CWE | CWE-74, CWE-89 |
影響 を 受ける ソフトウェア
| 製品名 | ベンダー | 影響バージョン |
|---|---|---|
| cross_browser | Song-Li | ca690f0 以前 |
修正 バージョン と 回避策
- 修正: 現時点 で ベンダー から の 応答 が なく、 修正 バージョン は 未提供 です。 ローリング リリース の ため リポジトリ の 最新 コミット を 確認 して ください
- 回避策: details エンドポイント へ の アクセス を 信頼 できる ユーザー に 制限 し、 入力値 の バリデーション を 追加 して ください
- 根本対策: パラメータ化 クエリ の 使用 や ORM による クエリ 生成 で 根本的 に 修正 可能 です
- 補足: ユーザー データ を 扱う エンドポイント の ため、 データ 漏洩 防止 の 観点 から も 早期 対応 が 推奨 されます
関連リンク
データソース: NVD (NIST) AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。