Web Ofisi Emlak V2 emlak-ara.html 経由の SQL インジェクション
プラットフォーム
php
コンポーネント
web-ofisi-emlak
修正版
2.0.1
CVE-2019-25459は、Web Ofisi Emlak V2に存在するSQLインジェクション脆弱性です。この脆弱性を悪用されると、攻撃者はデータベースから機密情報を窃取したり、不正な操作を実行したりする可能性があります。影響を受けるバージョンは2.0.0–V2です。バージョン2.5.4へのアップデートで修正されています。
影響と攻撃シナリオ
このSQLインジェクション脆弱性は、認証されていない攻撃者がWeb Ofisi Emlakの特定のAPIエンドポイントを介してデータベースクエリを直接操作することを可能にします。攻撃者は、emlakdurumu、emlaktipi、il、ilce、kelime、semtなどのGETパラメータに悪意のあるSQLコードを注入することで、データベース内の機密データ(ユーザー情報、不動産情報など)を窃取したり、データベース構造を列挙したり、さらにはデータベースサーバー上で任意のコードを実行する可能性があります。この脆弱性の悪用は、Web Ofisi Emlakを利用する組織の機密性、完全性、可用性に重大な影響を与える可能性があります。類似のSQLインジェクション攻撃は、多くのWebアプリケーションで確認されており、適切な入力検証とパラメータのサニタイズが不可欠であることを示しています。
悪用の状況
CVE-2019-25459は、公開されている脆弱性であり、攻撃者による悪用が懸念されます。現時点では、KEV(CISA Known Exploited Vulnerabilities)カタログには登録されていませんが、CVSSスコアがCRITICALであるため、攻撃の可能性は高いと考えられます。公開されているPoC(Proof of Concept)コードが存在する可能性があり、攻撃者がこの脆弱性を悪用するリスクは高いです。2026年2月22日に公開されました。
リスク対象者翻訳中…
Organizations utilizing Web Ofisi Emlak V2 (2.0.0–V2) for real estate management are at significant risk. This includes small to medium-sized businesses relying on the system for property listings, client management, and financial tracking. Shared hosting environments where multiple users share the same server instance are particularly vulnerable, as a compromise of one user's instance could potentially lead to lateral movement and compromise other users’ data.
検出手順翻訳中…
• php: Examine web server access logs for requests containing suspicious SQL syntax in GET parameters (e.g., emlak_durumu=1' OR '1'='1).
• php: Review the source code of Web Ofisi Emlak, specifically the endpoint handling GET parameters, for unescaped user input used in SQL queries.
• generic web: Use curl to test the vulnerable endpoints with various SQL injection payloads:
curl 'http://your-web-ofisi-instance/index.php?emlak_durumu=1' OR '1'='1'• generic web: Monitor error logs for database-related errors that might indicate a SQL injection attempt.
攻撃タイムライン
- Disclosure
disclosure
脅威インテリジェンス
エクスプロイト状況
EPSS
0.11% (30% パーセンタイル)
CISA SSVC
CVSS ベクトル
これらのメトリクスの意味は?
- Attack Vector
- ネットワーク — インターネット経由でリモートから悪用可能。物理・ローカルアクセス不要。
- Attack Complexity
- 低 — 特別な条件不要。安定して悪用可能。
- Privileges Required
- なし — 認証不要。資格情報なしで悪用可能。
- User Interaction
- なし — 自動かつ無音の攻撃。被害者は何もしない。
- Scope
- 変化なし — 影響は脆弱なコンポーネントのみ。
- Confidentiality
- 高 — 機密性の完全喪失。全データが読み取り可能。
- Integrity
- 高 — 任意のデータの書き込み・変更・削除が可能。
- Availability
- 高 — 完全なクラッシュまたはリソース枯渇。完全なサービス拒否。
影響を受けるソフトウェア
弱点分類 (CWE)
タイムライン
- 予約済み
- 公開日
- 更新日
- EPSS 更新日
緩和策と回避策
CVE-2019-25459の緩和策として、まずWeb Ofisi Emlakをバージョン2.5.4にアップデートすることを強く推奨します。アップデートがすぐに利用できない場合、WAF(Web Application Firewall)を導入し、SQLインジェクション攻撃を検知・防御するルールを設定することが有効です。また、入力検証を強化し、パラメータに許可されていない文字が含まれていないかを確認するなどの対策も有効です。データベースのアクセス権限を最小限に抑え、攻撃者がデータベースを操作できる範囲を制限することも重要です。アップデート後、データベースの整合性を確認し、不正なデータ変更がないかを確認してください。
修正方法
SQL インジェクションの脆弱性を軽減するために、Emlak スクリプトをバージョン 2.5.4 以降にアップデートしてください。Web-ofisi が提供する最新のセキュリティアップデートを適用して、アプリケーションを潜在的な攻撃から保護してください。SQL コードの注入を防ぐために、GET パラメータのユーザー入力を確認し、サニタイズしてください。
CVEセキュリティニュースレター
脆弱性分析と重要アラートをメールでお届けします。
よくある質問
CVE-2019-25459 — SQL Injection in Web Ofisi Emlakとは何ですか?
CVE-2019-25459は、Web Ofisi Emlak V2において、GETパラメータを介してデータベースクエリを操作できるSQLインジェクション脆弱性です。攻撃者は、データベースから機密情報を窃取したり、不正な操作を実行したりする可能性があります。
CVE-2019-25459 in Web Ofisi Emlakに影響を受けますか?
Web Ofisi Emlakのバージョンが2.0.0–V2である場合、この脆弱性に影響を受ける可能性があります。バージョン2.5.4へのアップデートを推奨します。
CVE-2019-25459 in Web Ofisi Emlakを修正するにはどうすればよいですか?
Web Ofisi Emlakをバージョン2.5.4にアップデートしてください。アップデートがすぐに利用できない場合は、WAFを導入し、入力検証を強化するなどの対策を講じてください。
CVE-2019-25459は積極的に悪用されていますか?
公開されている脆弱性であり、攻撃者による悪用が懸念されます。PoCコードが存在する可能性があり、攻撃のリスクは高いと考えられます。
CVE-2019-25459に関するWeb Ofisiの公式アドバイザリはどこで入手できますか?
Web Ofisiの公式ウェブサイトまたはセキュリティアドバイザリページで、CVE-2019-25459に関する情報を確認してください。