HIGHCVE-2019-25693CVSS 7.1

ResourceSpace 8.6 collection_edit.phpにおけるSQLインジェクション

プラットフォーム

php

コンポーネント

resourcespace

修正版

8.6.1

AI Confidence: highNVDEPSS 0.0%レビュー済み: 2026年5月

NVDで見る

保存

ResourceSpace 8.6にSQLインジェクションの脆弱性が存在します。この脆弱性は、認証された攻撃者がcollection_edit.phpのキーワードパラメータに悪意のあるSQLコードを注入することで、データベースから機密情報を抽出することを可能にします。ResourceSpace 8.6が影響を受けます。最新バージョンへのアップグレードにより、この脆弱性は修正されています。

影響と攻撃シナリオ

このSQLインジェクション脆弱性を悪用されると、攻撃者はデータベースの内容を閲覧、変更、削除することが可能になります。具体的には、データベースのスキーマ名、ユーザー認証情報、その他の機密データが漏洩する可能性があります。攻撃者は、データベースを改ざんしてシステムの動作を妨害したり、さらなる攻撃への足がかりとして利用したりする可能性も考えられます。この脆弱性は、データベースへの不正アクセスを許容し、機密情報の漏洩やシステムの乗っ取りにつながる重大なリスクをもたらします。

悪用の状況

この脆弱性は、2026年4月12日に公開されました。現時点では、この脆弱性を悪用した具体的な攻撃事例は報告されていませんが、SQLインジェクションは一般的な攻撃手法であり、悪用される可能性は否定できません。CISA KEVリストへの登録状況は不明です。公開されているPoCは確認されていません。

リスク対象者翻訳中…

Organizations using ResourceSpace 8.6, particularly those with sensitive data stored in their databases, are at risk. Environments with weak password policies or compromised user accounts are especially vulnerable, as an attacker could leverage these credentials to exploit the SQL injection flaw.

検出手順翻訳中…

• php / server:

grep -r 'keywords parameter in collection_edit.php' /var/www/html/

• generic web:

curl -X POST -d "keywords='; DROP TABLE users;--" http://your-resourcespace-instance/collection_edit.php | grep -i 'error in your query'

攻撃タイムライン

2026-04-12Disclosure
disclosure

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

インターネット露出高

レポート1 脅威レポート

EPSS

0.02% (4% パーセンタイル)

CISA SSVC

悪用状況poc

自動化可能no

技術的影響

影響を受けるソフトウェア

コンポーネントresourcespace

ベンダーResourcespace

影響範囲修正版

Stable release: 8.6 – Stable release: 8.68.6.1

弱点分類 (CWE)

CWE-352

タイムライン

予約済み2026-04-05
公開日2026-04-12
更新日2026-04-13
EPSS 更新日2026-04-20

未パッチ — 公開から42日経過

緩和策と回避策

ResourceSpace 8.6の脆弱性に対処するため、まず最新バージョンへのアップグレードを強く推奨します。アップグレードが困難な場合は、データベースへのアクセスを制限するファイアウォールルールやWebアプリケーションファイアウォール（WAF）の設定を検討してください。また、collection_edit.phpへの入力を厳密に検証し、SQLインジェクション攻撃を防御する入力検証機能を実装することも有効です。アップグレード後、データベースへのアクセスログを監視し、不正なアクセスがないか確認してください。

修正方法

ResourceSpaceを修正されたバージョンにアップデートしてください。具体的なアップデート方法とセキュリティパッチの適用方法については、ResourceSpaceの公式ドキュメントまたはウェブサイトを参照してください。

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2019-25693 — SQLインジェクションはResourceSpaceの何ですか？

CVE-2019-25693は、ResourceSpace 8.6のcollection_edit.phpにおけるSQLインジェクション脆弱性です。攻撃者は、キーワードパラメータに悪意のあるSQLコードを注入することで、データベース情報を不正に取得できます。

CVE-2019-25693はResourceSpaceで影響を受けますか？

はい、ResourceSpace 8.6がこの脆弱性の影響を受けます。ResourceSpace 8.6を使用している場合は、最新バージョンへのアップグレードを推奨します。

CVE-2019-25693はResourceSpaceでどのように修正しますか？

ResourceSpaceの最新バージョンにアップグレードすることで、この脆弱性は修正されます。アップグレードが困難な場合は、ファイアウォールやWAFの設定、入力検証機能の実装などの緩和策を検討してください。

CVE-2019-25693は積極的に悪用されていますか？

現時点では、この脆弱性を悪用した具体的な攻撃事例は報告されていませんが、SQLインジェクションは一般的な攻撃手法であり、悪用される可能性は否定できません。

CVE-2019-25693のResourceSpace公式アドバイザリはどこで入手できますか？

ResourceSpaceの公式アドバイザリは、ResourceSpaceのウェブサイトまたはセキュリティ関連のニュースサイトで確認できます。