概要
Jinher OA 1.0 において、/C6/JHSoft.Web.PlanSummarize/UserSel.aspx の DeptIDList パラメータにSQLインジェクションの脆弱性が存在します。
攻撃者はリモートから細工されたリクエストを送信することで、データベースの情報を不正に取得・改ざん・削除できる可能性があります。この脆弱性は公開済みですが、ベンダーからの応答はありません。
CVSSベクトル
| 指標 | 値 |
|---|---|
| CVSSスコア | 7.3 |
| 深刻度 | High |
| CWE | CWE-74 / CWE-89 (SQLインジェクション) |
| 攻撃元区分 | ネットワーク |
| 攻撃条件の複雑さ | 低 |
| 必要な特権レベル | 不要 |
影響を受けるソフトウェア
| 製品 | ベンダー | 影響バージョン |
|---|---|---|
| OA | Jinher | 1.0 |
修正バージョンと回避策
- 本稿執筆時点で修正版は未リリースです(ベンダー応答なし)
- DeptIDList パラメータに対する入力値バリデーションとプリペアドステートメントの適用を推奨
- WAF(Webアプリケーションファイアウォール)でSQLインジェクションパターンをブロックする
- 該当エンドポイントへのアクセスを認証済みユーザーに制限する
関連リンク
データソース: NVD (NIST) AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。