概要
Vehicle Showroom Management System バージョン 1.0 に おいて、BookVehicleFunction.php の BRANCH_ID パラメータ に SQL インジェクション の 脆弱性 が 存在 します。リモート の 攻撃者 が 細工 した BRANCH_ID を 送信 する こと で、データベース に 対して 任意 の SQL クエリ を 実行 できる 可能性 が あります。
影響 の 範囲
攻撃者 は SQL インジェクション を 通じて、車両 予約 データ、顧客 の 個人 情報、支店 データ など を 窃取 または 改ざん できる 可能性 が あります。BRANCH_ID パラメータ の サニタイズ が 不十分 で ある ため、データベース 全体 へ の 不正 アクセス に 発展 する 恐れ が あります。
CVSS ベクトル
| 項目 | 値 |
|---|---|
| CVSS スコア | 7.3(High) |
| 攻撃 元区分 | ネットワーク |
| 攻撃 条件 の 複雑さ | 低 |
| 必要 な 特権 | 低 |
| ユーザー 関与 | 不要 |
| CWE | CWE-74 / CWE-89(SQL インジェクション) |
影響 を 受ける ソフトウェア
| 製品 | ベンダー | 影響 バージョン |
|---|---|---|
| Vehicle Showroom Management System | 不明 | 1.0 |
修正 バージョン と 回避策
- 修正: 修正 バージョン は 確認 されて いません
- 回避策: BRANCH_ID パラメータ に 対する 入力 バリデーション を 追加 する。プリペアド ステートメント の 使用 を 推奨
関連 リンク
データソース: NVD (NIST) AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。