HIGHCVE-2018-25205CVSS 8.2

ASP.NET jVideo Kit 1.0 query パラメータ経由の SQL インジェクション (SQL Injection)

プラットフォーム

aspnet

コンポーネント

asp-net-jvideo-kit

修正版

1.0.1

AI Confidence: highNVDEPSS 0.1%レビュー済み: 2026年5月

NVDで見る

保存

CVE-2018-25205 は、ASP.NET jVideo Kit 1.0 に存在する SQL インジェクションの脆弱性です。この脆弱性により、攻撃者は search 機能の 'query' パラメータを介して SQL コマンドを注入し、データベース情報を抽出できます。影響を受けるバージョンは 1.0–1.0 です。現時点では、公式のパッチは提供されていません。

影響と攻撃シナリオ

ASP.NET jVideo Kit 1.0 の CVE-2018-25205 は、検索機能における SQL インジェクション脆弱性により重大なリスクをもたらします。認証されていない攻撃者は、GET または POST リクエストを介して '/search' パス内の 'query' パラメータを介して悪意のある SQL コマンドを送信することで、この脆弱性を悪用できます。これにより、ブール型ブラインドまたはエラーベースのインジェクション技術を使用して、データベースから機密情報を抽出できます。潜在的な影響には、機密データの漏洩、データベースの改ざん、さらにはサーバーの侵害が含まれます。これは、アプリケーションで使用されるデータベースアカウントの権限によって異なります。公式の修正プログラム（fix）がないことは状況を悪化させ、緊急の緩和策を必要とします。

悪用の状況

この脆弱性は、jVideo Kit アプリケーションの '/search' パスを介して悪用されます。攻撃者は、'query' パラメータを操作して悪意のある SQL コードを挿入できます。認証がないため、登録されていないユーザーでも脆弱性を悪用しようとする可能性があります。データベースが明示的なエラーを返さない場合、Exploit はより複雑になる可能性があります。この場合、ブール型 SQL インジェクション技術を使用する必要があります。SQLMap などのツールは、Exploit プロセスを自動化できます。この脆弱性の単純さと修正プログラムがないことは、攻撃者にとって魅力的なターゲットとなっています。

リスク対象者翻訳中…

Organizations utilizing ASP.NET jVideo Kit version 1.0, particularly those hosting the application on shared hosting environments or without robust input validation practices, are at significant risk. Systems with weak database security configurations or those lacking intrusion detection systems are also more vulnerable.

検出手順翻訳中…

• aspnet / web:

curl -s -X GET 'http://<target>/search?query='; SELECT+sleep(5);-- -n

• generic web:

curl -s -X GET 'http://<target>/search?query='; SELECT+sleep(5);-- -n | grep 'sleep(5)'

• generic web:

 grep -i 'sql injection' /var/log/apache2/access.log

攻撃タイムライン

2026-03-26Disclosure
disclosure

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

インターネット露出高

EPSS

0.09% (25% パーセンタイル)

CISA SSVC

悪用状況poc

自動化可能yes

技術的影響partial

CVSS ベクトル

影響を受けるソフトウェア

コンポーネントasp-net-jvideo-kit

ベンダーMediasoftpro

影響範囲修正版

1.0 – 1.01.0.1

弱点分類 (CWE)

CWE-89

タイムライン

予約済み2026-03-26
公開日2026-03-26
EPSS 更新日2026-04-02

未パッチ — 公開から59日経過

緩和策と回避策

jVideo Kit の開発者から公式の修正プログラムが提供されていないため、CVE-2018-25205 の軽減には積極的なアプローチが必要です。安全なソリューションが実装されるまで、検索機能を削除または無効にすることを強くお勧めします。機能が不可欠な場合は、すべてのユーザー入力の厳格な検証とサニタイズ、SQL インジェクションを防ぐためのパラメーター化されたクエリ（プリペアドステートメント）の使用、およびアプリケーションで使用されるデータベースアカウントに最小限の特権の原則を適用する必要があります。アプリケーションの疑わしい活動の監視が重要です。可能であれば、ASP.NET のより安全なバージョンへのアップグレードを検討することで、追加の保護レイヤーを提供できます。

修正方法

パッチが適用されたバージョンにアップデートするか、SQL インジェクション (SQL Injection) を防ぐためのセキュリティ対策を実装してください。SQL クエリで使用する前に、'query' パラメータの入力を検証およびフィルタリングしてください。SQL インジェクション (SQL Injection) を防ぐために、パラメータ化されたクエリまたは ORM の使用を検討してください。

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2018-25205 とは何ですか？（ASP.NET jVideo Kit の SQL Injection）

jVideo Kit はもはや広く使用されていない可能性がありますが、レガシーシステムで見つかった場合はリスクとなります。

ASP.NET jVideo Kit の CVE-2018-25205 による影響を受けていますか？

SQL インジェクションは、攻撃者が SQL クエリを操作してデータベース内のデータにアクセスしたり変更したりできる攻撃技術です。

ASP.NET jVideo Kit の CVE-2018-25205 を修正するにはどうすればよいですか？

侵入テストを実行するか、脆弱性スキャンツールを使用して、'/search' パスが SQL インジェクションに対して脆弱かどうかを特定します。

CVE-2018-25205 は積極的に悪用されていますか？

これは、開発者が脆弱性を修正するためのアップデートをリリースしていないことを意味し、手動による軽減策が必要です。

CVE-2018-25205 に関する ASP.NET jVideo Kit の公式アドバイザリはどこで確認できますか？

これは、データベースが明示的なエラーを返さない場合に、攻撃者がブール応答またはタイミングから情報を推測する必要がある技術です。