つみかさね

CVE-2026-6148

High(7.3)

CVE-2026-6148 — Vehicle Showroom Management System SQLインジェクション

公開日: 2026-04-13データソース: NVD, GitHub Advisory

影響を受けるソフトウェア

製品ベンダー影響バージョン
Vehicle Showroom Management System不明1.0

対応ガイド

high|推奨セキュリティ修正影響: 最小限

推奨アクション

  1. 1Vehicle Showroom Management Systemを使用しているか確認する
  2. 2BRANCH_IDパラメータに入力バリデーションを追加する
  3. 3プリペアドステートメントへの移行を検討する

影響対象

Vehicle Showroom Management System利用者

補足

  • -修正バージョンは提供されていないため、独自の対策が必要です
CVEVehicle Showroom Management SystemSQLインジェクション

概要

Vehicle Showroom Management System バージョン 1.0 に おいて、MonthTotalReportUpdateFunction.php の BRANCH_ID パラメータ に SQL インジェクション の 脆弱性 が 存在 します。リモート の 攻撃者 が 細工 した BRANCH_ID を 送信 する こと で、データベース に 対して 任意 の SQL クエリ を 実行 できる 可能性 が あります。

影響 の 範囲

攻撃者 は SQL インジェクション を 通じて、月次 レポート データ、売上 情報、顧客 データ、支店 情報 など を 窃取 または 改ざん できる 可能性 が あります。BRANCH_ID パラメータ の サニタイズ が 不十分 で ある ため、データベース 全体 へ の 不正 アクセス に 発展 する 恐れ が あります。

CVSS ベクトル

項目
CVSS スコア7.3(High)
攻撃 元区分ネットワーク
攻撃 条件 の 複雑さ
必要 な 特権
ユーザー 関与不要
CWECWE-74 / CWE-89(SQL インジェクション)

影響 を 受ける ソフトウェア

製品ベンダー影響 バージョン
Vehicle Showroom Management System不明1.0

修正 バージョン と 回避策

  • 修正: 修正 バージョン は 確認 されて いません
  • 回避策: BRANCH_ID パラメータ に 対する 入力 バリデーション を 追加 する。プリペアド ステートメント の 使用 を 推奨

関連 リンク

データソース: NVD (NIST) AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。

参考リンク

NVD:https://nvd.nist.gov/vuln/detail/CVE-2026-6148
VulDB:https://vuldb.com/vuln/357028
Xでシェアはてブ
データソース: NVD (NIST), OSV (Google), GitHub Advisory Database, JVN iPedia (IPA/JPCERT/CC)
AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。