HIGHCVE-2019-25674CVSS 8.2

CMSsite 1.0 SQLインジェクション via post パラメータ

プラットフォーム

php

コンポーネント

cmssite

修正版

1.0.1

AI Confidence: highNVDEPSS 0.2%レビュー済み: 2026年5月

NVDで見る

保存

CVE-2019-25674は、CMSsite 1.0におけるSQLインジェクション脆弱性です。この脆弱性を悪用されると、認証されていない攻撃者がデータベースクエリを操作し、機密情報を抽出することが可能です。影響を受けるバージョンは1.0です。現時点では公式な修正パッチは公開されていません。

影響と攻撃シナリオ

CMSsite 1.0 の CVE-2019-25674 は、この CMS を利用している Web サイトにとって重大なセキュリティリスクをもたらします。これは認証されていない SQL インジェクションの脆弱性であり、攻撃者が資格情報なしで悪用できることを意味します。SQL インジェクションにより、攻撃者はデータベースクエリを操作し、ユーザー名、パスワード、顧客データなどの機密情報を抽出したり、データを変更または削除したりする可能性があります。修正プログラム (fix) がないことは状況を悪化させ、Web サイトを攻撃に対して脆弱にします。潜在的な影響には、評判の低下、データ損失、サービスの中断、および潜在的な法的結果が含まれます。

悪用の状況

この脆弱性は、post.php に操作された post パラメータを使用して GET リクエストを送信することで悪用されます。攻撃者は、このパラメータに悪意のある SQL コードを挿入し、それをデータベースに対して実行できます。認証が不要なため、URL にアクセスできる人は誰でもこの脆弱性を悪用しようと試みることができます。時間ベースのブラインド SQL インジェクション技術も使用して、データベースからの直接応答がない場合でも情報を抽出できます。この脆弱性の悪用の容易さは、さまざまなスキルレベルの攻撃者によって悪用される可能性があるため、特に危険です。

リスク対象者翻訳中…

Organizations utilizing CMSsite version 1.0.0–1.0, particularly those hosting the application on shared hosting environments or without robust input validation practices, are at significant risk. Systems where CMSsite handles sensitive user data or critical business processes are especially vulnerable.

検出手順翻訳中…

• php / server:

grep -r "SELECT .* FROM" /var/www/html/cmsite/

• php / server:

find /var/www/html/cmsite/ -name "post.php" -print

• generic web:

curl -I http://your-cmssite-url/post.php?post=' --header 'Cookie: PHPSESSID=your_session_id'

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

インターネット露出高

EPSS

0.24% (48% パーセンタイル)

CISA SSVC

悪用状況poc

自動化可能yes

技術的影響partial

CVSS ベクトル

影響を受けるソフトウェア

コンポーネントcmssite

ベンダーVictorAlagwu

影響範囲修正版

1.0 – 1.01.0.1

弱点分類 (CWE)

CWE-89

タイムライン

予約済み2026-04-05
公開日2026-04-05
更新日2026-04-06
EPSS 更新日2026-04-13

未パッチ — 公開から49日経過

緩和策と回避策

CVE-2019-25674 の公式な修正プログラム (fix) がないため、軽減策は予防的および検出的な対策に焦点を当てています。最も重要なステップは、CMSsite 1.0 の使用を直ちに停止することです。アップグレードが不可能な場合は、SQL インジェクションの試行を検出およびブロックできる Web アプリケーションファイアウォール (WAF) を実装することをお勧めします。ソースコードとデータベースの定期的なセキュリティ監査も不可欠であり、潜在的な脆弱性を特定して修正することができます。post.php への悪意のある 'post' パラメータを使用した異常な GET リクエストなど、サーバーログを疑わしいアクティビティで監視することで、進行中の攻撃を検出するのに役立ちます。データベースへのアクセスを制限し、最小権限の原則を適用することで、搾取が成功した場合の潜在的な損害を制限できます。

修正方法翻訳中…

Actualice CMSsite a una versión corregida que solucione la vulnerabilidad de inyección SQL en el parámetro 'post'.  Verifique la documentación del proveedor para obtener instrucciones específicas de actualización.  Además, implemente validación y saneamiento de entradas para prevenir futuras inyecciones SQL.

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2019-25674 とは何ですか？（CMSsite の SQL Injection）

SQL インジェクションは、攻撃者が Web アプリケーションに悪意のある SQL コードを挿入してデータベースを操作することを可能にする攻撃です。

CMSsite の CVE-2019-25674 による影響を受けていますか？

認証を必要とせず、攻撃者が機密データにアクセスしたり、変更したり、削除したりする可能性があるためです。

CMSsite の CVE-2019-25674 を修正するにはどうすればよいですか？

CMSsite 1.0 の使用を直ちに停止し、より安全な代替手段を探してください。

CVE-2019-25674 は積極的に悪用されていますか？

脆弱性スキャナや侵入テストツールがあり、脆弱性の特定に役立ちます。

CVE-2019-25674 に関する CMSsite の公式アドバイザリはどこで確認できますか？

安全なコーディングプラクティスを実装し、定期的なセキュリティ監査を実施し、ソフトウェアを最新の状態に保ってください。