UNKNOWNCVE-2018-25208
CVE-2018-25208: qdPM の SQL インジェクション脆弱性
プラットフォーム
php
コンポーネント
qdpm
CVE-2018-25208 は、qdPM 9.1 に存在する SQL インジェクションの脆弱性です。この脆弱性により、攻撃者は filter_by パラメータを介して SQL コードを注入し、データベース情報を抽出できます。影響を受けるバージョンは 9.1–9.1 です。現時点では、公式のパッチは提供されていません。
修正方法
SQL インジェクション (SQL Injection) の脆弱性を解決する 9.1 より後のバージョンの qdPM にアップデートしてください。利用可能なバージョンがない場合は、timeReport エンドポイントの filter_by[CommentCreatedFrom] および filter_by[CommentCreatedTo] パラメータの入力を適切にフィルタリングおよびエスケープするセキュリティパッチを適用することをお勧めします。
よくある質問
CVE-2018-25208 とは何ですか?
CVE-2018-25208 は、qdPM 9.1 に存在する SQL インジェクションの脆弱性です。攻撃者は、filter_by パラメータを介して SQL コードを注入し、データベース情報を抽出できます。
影響を受ける可能性はありますか?
qdPM 9.1 を使用している場合は、この脆弱性の影響を受ける可能性があります。バージョンを確認し、対策を検討してください。
どのように対策すれば良いですか?
現時点では公式のパッチは提供されていません。入力値の検証、WAFの導入など、脆弱性の影響を軽減するための対策を講じてください。