HIGHCVE-2019-25676CVSS 8.2

Ask Expert Script 3.0.5 クロスサイトスクリプティング SQLインジェクション

プラットフォーム

php

コンポーネント

ask-expert-script

修正版

3.0.6

AI Confidence: highNVDEPSS 0.1%レビュー済み: 2026年5月

NVDで見る

保存

CVE-2019-25676は、Ask Expert Script 3.0.5に存在するSQLインジェクション脆弱性です。この脆弱性を悪用されると、攻撃者はデータベース情報を窃取したり、悪意のあるコードを実行したりする可能性があります。影響を受けるバージョンは3.0.5です。最新バージョンへのアップデートにより、この脆弱性は修正されています。

影響と攻撃シナリオ

このSQLインジェクション脆弱性は、攻撃者がデータベースへの不正アクセスを可能にし、機密情報の漏洩、データの改ざん、さらにはサーバーの制御権奪取につながる可能性があります。特に、データベースに保存されているユーザー認証情報や個人情報が漏洩した場合、深刻な被害が発生する可能性があります。攻撃者は、cateidパラメータを介してXSS攻撃を仕掛けたり、viewパラメータを介してSQLコードを注入することで、これらの攻撃を実行できます。類似のSQLインジェクション攻撃は、Webアプリケーションにおいて頻繁に発生しており、適切な対策を講じることが重要です。

悪用の状況

CVE-2019-25676は、2026年4月5日に公開されました。現時点では、この脆弱性を悪用した具体的な攻撃事例は確認されていませんが、SQLインジェクションはWebアプリケーションにおいて一般的な攻撃手法であり、攻撃者による悪用リスクは高いと考えられます。公開されている情報に基づいて、攻撃者は容易に脆弱性を特定し、攻撃を試みる可能性があります。

リスク対象者翻訳中…

Websites and applications utilizing the Ask Expert Script version 3.0.5 are at risk. This includes smaller businesses and organizations that may rely on this script for customer support or product information display. Shared hosting environments where multiple websites share the same server instance are particularly vulnerable, as a compromise of one site could potentially lead to the compromise of others.

検出手順翻訳中…

• php / web:

grep -r "cateid=.*?;" /var/www/html/categorysearch.php
grep -r "view=.*?;" /var/www/html/list-details.php

• generic web:

curl -I 'http://your-site.com/categorysearch.php?cateid=';
curl -I 'http://your-site.com/list-details.php?view=';

攻撃タイムライン

2026-04-05Disclosure
disclosure

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

インターネット露出高

EPSS

0.13% (32% パーセンタイル)

CISA SSVC

悪用状況poc

自動化可能yes

技術的影響partial

CVSS ベクトル

影響を受けるソフトウェア

コンポーネントask-expert-script

ベンダーPhpscriptsmall

影響範囲修正版

3.0.5 – 3.0.53.0.6

弱点分類 (CWE)

CWE-79

タイムライン

予約済み2026-04-05
公開日2026-04-05
更新日2026-04-06
EPSS 更新日2026-04-13

未パッチ — 公開から49日経過

緩和策と回避策

この脆弱性への対応策として、まず、Ask Expert Scriptを最新バージョンにアップデートすることが最も効果的です。アップデートが困難な場合は、Webアプリケーションファイアウォール（WAF）を導入し、SQLインジェクション攻撃を検知・防御するルールを設定してください。また、入力値の検証を強化し、不正なSQLコードが実行されないように対策することも重要です。カテゴリ検索や詳細表示の処理において、パラメータのサニタイズを徹底し、SQLクエリの構築を安全に行うようにしてください。アップデート後、データベースへのアクセスログを監視し、不正なアクセスがないか確認することで、脆弱性の影響を検証できます。

修正方法翻訳中…

Actualice a una versión corregida del script Ask Expert.  Verifique el sitio web del proveedor o los foros de soporte para obtener información sobre las actualizaciones disponibles.  Como no se proporciona una versión corregida, considere deshabilitar o eliminar el script hasta que se publique una actualización.

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2019-25676 — SQLインジェクションはAsk Expert Scriptで何ですか？

CVE-2019-25676は、Ask Expert Script 3.0.5におけるSQLインジェクション脆弱性であり、攻撃者がデータベース情報を窃取したり、悪意のあるコードを実行したりする可能性があります。

CVE-2019-25676はAsk Expert Scriptで影響を受けますか？

はい、Ask Expert Scriptのバージョン3.0.5がこの脆弱性の影響を受けます。

CVE-2019-25676はAsk Expert Scriptでどのように修正しますか？

この脆弱性を修正するには、Ask Expert Scriptを最新バージョンにアップデートしてください。

CVE-2019-25676は積極的に悪用されていますか？

現時点では、この脆弱性を悪用した具体的な攻撃事例は確認されていませんが、SQLインジェクションは一般的な攻撃手法であり、悪用リスクは高いと考えられます。

CVE-2019-25676のAsk Expert Script公式アドバイザリはどこで入手できますか？

公式アドバイザリは、Ask Expert Scriptの公式サイトまたは関連するセキュリティ情報サイトで確認できます。