HIGHCVE-2018-25203CVSS 8.2

Online Store System CMS 1.0 clientaccess 経由の SQL インジェクション (SQL Injection)

プラットフォーム

php

コンポーネント

online-store-system-cms

修正版

1.0.1

AI Confidence: highNVDEPSS 0.1%レビュー済み: 2026年5月

NVDで見る

保存

CVE-2018-25203 は、Online Store System CMS 1.0 に存在する SQL インジェクションの脆弱性です。この脆弱性により、攻撃者は email パラメータを介して SQL コードを注入し、データベースクエリを操作できます。影響を受けるバージョンは 1.0–1.0 です。現時点では、公式のパッチは提供されていません。

影響と攻撃シナリオ

Online Store System CMS 1.0 の CVE-2018-25203 は重大なセキュリティリスクをもたらします。認証されていない攻撃者が、'index.php' への POST リクエストで 'action=clientaccess' パラメータを使用し、'email' パラメータを介して悪意のある SQL コードを挿入することを可能にします。この SQL インジェクションは、'ブール型ブラインド' または '時間型ブラインド' のタイプであり、攻撃者が認証なしでデータベースから機密情報を抽出することを可能にします。潜在的な影響には、顧客データ、製品情報、取引詳細、および潜在的に管理者認証情報の開示が含まれ、e コマースシステムの整合性と機密性が損なわれる可能性があります。

悪用の状況

この脆弱性は、'index.php' への POST リクエストを 'action=clientaccess' と 'email' フィールドの SQL インジェクションペイロードとともに送信することで悪用されます。攻撃者は、ブール型または時間型のブラインド SQL インジェクション技術を使用して、データベース構造を調査し、情報を抽出できます。脆弱性を悪用するために認証が必要ないため、ネットワークアクセスできる攻撃者は特に危険です。悪用の容易さと、機密データの盗難の可能性を考えると、この CMS のユーザーにとって重大な脅威となります。

リスク対象者翻訳中…

Organizations utilizing Online Store System CMS version 1.0, particularly those with sensitive customer data or financial information, are at significant risk. Shared hosting environments where multiple websites share the same server instance are also vulnerable, as a compromise of one website could potentially impact others.

検出手順翻訳中…

• php / web:

grep -r "email parameter" /var/www/html/index.php

• generic web:

curl -X POST -d "action=clientaccess&email=test' OR '1'='1" http://your-website.com/index.php | grep -i "error"

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

インターネット露出高

EPSS

0.09% (25% パーセンタイル)

CISA SSVC

悪用状況poc

自動化可能yes

技術的影響partial

CVSS ベクトル

影響を受けるソフトウェア

コンポーネントonline-store-system-cms

ベンダーWecodex

影響範囲修正版

1.0 – 1.01.0.1

弱点分類 (CWE)

CWE-89

タイムライン

予約済み2026-03-26
公開日2026-03-26
EPSS 更新日2026-04-02

未パッチ — 公開から59日経過

緩和策と回避策

CVE-2018-25203 に対して公式な修正プログラムが提供されていないため、軽減策は予防策と是正措置に重点が置かれています。利用可能な場合は、Online Store System CMS のより新しいバージョンにアップグレードすることを強くお勧めします。アップデートがない場合は、特に 'email' パラメータのすべてのユーザー入力の厳格な入力検証とサニタイズを実装する必要があります。Web Application Firewall (WAF) をデプロイすることで、SQL インジェクション攻撃を検出およびブロックするのに役立ちます。さらに、潜在的な脆弱性を特定して対処するために、定期的なセキュリティ監査とペネトレーションテストが不可欠です。

修正方法

パッチが適用されたバージョンにアップデートするか、ベンダーが推奨するセキュリティ対策を適用してください。パッチが適用されたバージョンがない場合は、脆弱な機能を無効にするか、SQL インジェクション (SQL Injection) を防ぐための入力フィルタを適用することをお勧めします。

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2018-25203 とは何ですか？（Online Store System CMS の SQL Injection）

SQL インジェクションは、攻撃者が SQL クエリを操作してデータベース内のデータにアクセスしたり変更したりできる攻撃です。

Online Store System CMS の CVE-2018-25203 による影響を受けていますか？

これにより、認証されていない攻撃者が顧客データや取引詳細などのデータベースから機密データを盗むことができます。

Online Store System CMS の CVE-2018-25203 を修正するにはどうすればよいですか？

利用可能な場合は、より新しいバージョンにアップグレードしてください。そうでない場合は、入力検証、WAF を実装し、セキュリティ監査を実施してください。

CVE-2018-25203 は積極的に悪用されていますか？

パラメータ化されたクエリを使用し、ユーザー入力を検証およびサニタイズし、ソフトウェアを最新の状態に保ってください。

CVE-2018-25203 に関する Online Store System CMS の公式アドバイザリはどこで確認できますか？

SQL インジェクションを特定するのに役立つ脆弱性スキャナやペネトレーションテストツールがあります。