概要
tushar-2223 が 開発 した Hotel Management System に おいて、/admin/roomdelete.php の ID パラメータ に SQL インジェクション の 脆弱性 が 存在 します。リモート の 攻撃者 が 細工 した リクエスト を 送信 する こと で、データベース に 対して 任意 の SQL クエリ を 実行 できる 可能性 が あります。
影響 の 範囲
攻撃者 は SQL インジェクション を 通じて、データベース 内 の 宿泊者 情報、予約 データ、管理者 認証 情報 など を 窃取 または 改ざん できる 可能性 が あります。管理者 向け の エンドポイント で ある ため、認証 を 突破 した 後 の 攻撃 と なります が、入力 値 の 検証 が 不十分 で ある ため 深刻 な 被害 に つながる 恐れ が あります。
CVSS ベクトル
| 項目 | 値 |
|---|---|
| CVSS スコア | 7.3(High) |
| 攻撃 元区分 | ネットワーク |
| 攻撃 条件 の 複雑さ | 低 |
| 必要 な 特権 | 低 |
| ユーザー 関与 | 不要 |
| CWE | CWE-74 / CWE-89(SQL インジェクション) |
影響 を 受ける ソフトウェア
| 製品 | ベンダー | 影響 バージョン |
|---|---|---|
| Hotel Management System | tushar-2223 | 全バージョン |
修正 バージョン と 回避策
- 修正: 修正 バージョン は 確認 されて いません
- 回避策: ID パラメータ に 対する 入力 バリデーション を 追加 する。プリペアド ステートメント の 使用 を 推奨
関連 リンク
データソース: NVD (NIST) AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。