プラットフォーム
php
コンポーネント
qdpm
修正版
9.1.1
CVE-2018-25208 は、qdPM 9.1 に存在する SQL インジェクションの脆弱性です。この脆弱性により、攻撃者は filter_by パラメータを介して SQL コードを注入し、データベース情報を抽出できます。影響を受けるバージョンは 9.1–9.1 です。現時点では、公式のパッチは提供されていません。
CVE-2018-25208はqdPMに影響を与え、ユーザーをSQLインジェクションのリスクに晒します。この脆弱性を利用すると、認証されていない攻撃者がデータベースから機密情報を抽出できます。攻撃ベクトルは、timeReportエンドポイント内のfilterby[CommentCreatedFrom]およびfilterby[CommentCreatedTo]パラメータに焦点を当てています。攻撃者は、これらのパラメータにSQLコードを注入した悪意のあるPOSTリクエストを送信することで、任意のSQLクエリを実行し、機密データにアクセスできます。この脆弱性を悪用するために認証が不要であるため、ネットワークアクセスを持つ人は誰でもデータベースを侵害する可能性があります。CVSSスコアの8.2は高いリスクを示しており、迅速な対応が必要です。公式な修正プログラム(fix: none)が存在しないことは状況を悪化させ、緩和策が実装されるまでユーザーを脆弱な状態に置きます。
qdPMのCVE-2018-25208脆弱性は、timeReportエンドポイントをターゲットにしたPOSTリクエストを通じて悪用されます。攻撃者は、filterby[CommentCreatedFrom]およびfilterby[CommentCreatedTo]パラメータに悪意のあるデータを含むPOSTリクエストを構築します。適切な検証がない場合、これらのパラメータはSQLコードの注入を許可します。攻撃者は、基盤となるデータベースで実行される任意のSQLコマンドを注入できます。認証がないため、ネットワークアクセスを持つユーザーは誰でもこの脆弱性を悪用しようとすることができます。悪用の成功は、データベース構成とqdPMで使用されるデータベースユーザー権限に依存します。脆弱性が悪用されると、攻撃者は機密情報を抽出したり、データを変更したり、データベースを制御したりする可能性があります。
Organizations deploying qdPM version 9.1 are at direct risk. Specifically, environments where the timeReport endpoint is exposed to the internet or accessible to untrusted users are particularly vulnerable. Shared hosting environments utilizing qdPM 9.1 should be considered high-risk due to the potential for cross-tenant exploitation.
• php / web:
grep -r "filter_by[CommentCreatedFrom]" /var/www/qdPM/timeReport.php• generic web:
curl -X POST -d "filter_by[CommentCreatedFrom]='; DROP TABLE users; --" http://your-qdpm-server/timeReport• generic web: Examine access logs for POST requests to /timeReport with unusual or malformed filter_by parameters.
• generic web: Check response headers for SQL errors or unexpected behavior after submitting crafted requests.
disclosure
エクスプロイト状況
EPSS
0.09% (25% パーセンタイル)
CISA SSVC
CVE-2018-25208に対する公式な修正プログラムがqdPMに存在しないため、緩和策は補完的なセキュリティ対策に焦点を当てます。特にfilterby[CommentCreatedFrom]およびfilterby[CommentCreatedTo]パラメータのすべてのユーザー入力を厳密に検証およびサニタイズすることが重要です。許可された文字のホワイトリストを実装し、予期しない文字を含むすべての入力を拒否することで、SQLインジェクションを防止できます。さらに、動的にSQLクエリを構築する代わりに、パラメータ化されたクエリまたはストアドプロシージャを使用することを強くお勧めします。ネットワークセグメンテーションとデータベース権限の制限も、潜在的な悪用の影響を軽減するのに役立ちます。サーバーログを積極的に監視して、疑わしいSQLインジェクションパターンを早期に検出することが不可欠です。利用可能な場合は、qdPMの最新バージョンにアップグレードするか、この脆弱性を解決する代替ソリューションを検討してください。
SQL インジェクション (SQL Injection) の脆弱性を解決する 9.1 より後のバージョンの qdPM にアップデートしてください。利用可能なバージョンがない場合は、timeReport エンドポイントの filter_by[CommentCreatedFrom] および filter_by[CommentCreatedTo] パラメータの入力を適切にフィルタリングおよびエスケープするセキュリティパッチを適用することをお勧めします。
脆弱性分析と重要アラートをメールでお届けします。
SQLインジェクションは、攻撃者がデータベースに送信されるクエリを妨害できるセキュリティ脆弱性の種類です。
qdPMは、CVE-2018-25208脆弱性を含むソフトウェアです。提供されたコンテキストでは、その機能に関する具体的な情報は利用できません。
この脆弱性を利用すると、攻撃者はデータベースから機密情報にアクセスでき、プライバシーとセキュリティに深刻な影響を与える可能性があります。
qdPMを使用している場合は、緩和策を実装していない限り、脆弱である可能性が高いです。
National Vulnerability Database (NVD)などの脆弱性データベースで、CVE-2018-25208の詳細情報を入手できます。
CVSS ベクトル