概要
KLiK SocialMediaWebsite バージョン1.0.1以前に、SQLインジェクション脆弱性が存在します。問題は /includes/get_message_ajax.php のプライベートメッセージハンドラーにおける c_id パラメータの処理にあります。
攻撃者は認証なしにネットワーク経由で細工したリクエストを送信することで、データベースに対して不正なSQLクエリを実行できます。これにより、他のユーザーのプライベートメッセージの閲覧、ユーザー情報の窃取、データベースの改ざんなどが可能になる恐れがあります。
攻撃条件の複雑さは低く、特別な権限も不要であるため、インターネットに公開されたインスタンスは即座に攻撃対象となる可能性があります。
KLiK SocialMediaWebsite はオープンソースのソーシャルメディアプラットフォームです。プライベートメッセージ機能への SQL インジェクションであるため、ユーザー間の非公開コミュニケーション内容が漏洩する恐れがあります。修正パッチは現時点で提供されていないため、利用中のインスタンスでは WAF の導入や、c_id パラメータへの入力値バリデーション強化などの暫定対策を推奨します。データベースの完全なバックアップを取得した上で、不審なアクセスログがないか確認することも推奨します。
CVSSベクトル
| 指標 | 値 |
|---|---|
| CVSSスコア | 7.3(High) |
| 攻撃元区分 | ネットワーク |
| 攻撃条件の複雑さ | 低 |
| 必要な権限レベル | なし |
| CWE | CWE-89(SQLインジェクション) |
影響を受けるソフトウェア
| 製品 | ベンダー | 影響バージョン |
|---|---|---|
| SocialMediaWebsite | KLiK | 1.0.1以前 |
修正バージョンと回避策
- 修正: 修正版は未提供
- 回避策: WAF等でパラメータの入力検証を実施する。該当エンドポイントへのアクセスを制限する
関連リンク
データソース: NVD (NIST) AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。