HIGHCVE-2019-25703CVSS 7.1

ImpressCMS 1.3.11 bid パラメータを介した SQL インジェクション

プラットフォーム

php

コンポーネント

impresscms

修正版

1.3.12

AI Confidence: highNVDEPSS 0.1%レビュー済み: 2026年5月

NVDで見る

保存

あなたの言語に翻訳中…

CVE-2019-25703 describes a time-based blind SQL injection vulnerability discovered in ImpressCMS versions 1.3.11. This flaw allows authenticated attackers to manipulate database queries by injecting malicious SQL code through the 'bid' parameter within the admin.php endpoint. Successful exploitation could lead to unauthorized access and exfiltration of sensitive data, impacting website integrity and user privacy.

影響と攻撃シナリオ

CVE-2019-25703 は ImpressCMS のバージョン 1.3.11 に影響を与え、時間ベースのブラインド SQL インジェクションの脆弱性を持っています。この欠陥により、認証された攻撃者は、'bid' パラメータを介して悪意のある SQL コードを挿入することにより、データベースクエリを操作できます。潜在的な影響は大きく、攻撃者はユーザーの認証情報、構成データ、ウェブサイトのコンテンツなど、機密性の高いデータベース情報を抽出する可能性があります。インジェクションの「ブラインド」な性質は、サーバーの応答がクエリの結果を直接明らかにしないことを意味し、検出がより困難になりますが、悪用は不可能です。公式な修正プログラム（fix）がないことは状況を悪化させ、ImpressCMS 1.3.11 のユーザーをこの攻撃に対して脆弱にします。

悪用の状況

この脆弱性は、'admin.php' エンドポイントに悪意のある値で 'bid' パラメータを持つ POST リクエストを送信することによって悪用されます。これらの値には、データベースから情報を抽出するように設計された SQL コマンドが含まれています。インジェクションの時間ベースのブラインドな性質のため、攻撃者はサーバーの応答時間に基づいて情報を推測する必要があります。これには、条件が真の場合に特定の時間を要するクエリを送信し、次に応答時間を分析して条件が満たされているかどうかを判断することが含まれます。この脆弱性を悪用するには、認証が前提条件です。つまり、攻撃者は管理パネルにアクセスするための有効な資格情報を持っている必要があります。

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

インターネット露出高

レポート2 件の脅威レポート

EPSS

0.05% (16% パーセンタイル)

CVSS ベクトル

影響を受けるソフトウェア

コンポーネントimpresscms

ベンダーImpresscms

影響範囲修正版

1.3.11 – 1.3.111.3.12

弱点分類 (CWE)

CWE-89

タイムライン

予約済み2026-04-05
公開日2026-04-12
EPSS 更新日2026-04-20

未パッチ — 公開から42日経過

緩和策と回避策

ImpressCMS の開発者から公式な修正プログラムが提供されていないため、直近の軽減策は、利用可能な場合はソフトウェアのより新しいバージョンにアップグレードすることです。アップグレードが不可能な場合は、追加のセキュリティ対策を実装することをお勧めします。特に 'bid' パラメータのすべてのユーザー入力を厳密に検証およびサニタイズすることが含まれます。管理アクセスを承認されたユーザーのみに制限し、ウェブサイトの活動を疑わしいパターンについて監視することで、潜在的な攻撃を検出および防止するのに役立ちます。Web Application Firewall (WAF) を展開して、SQL インジェクションの試行を検出してブロックすることも効果的な戦略です。ソースコードのセキュリティ監査は、同様の脆弱性を特定して修正するために不可欠です。

修正方法翻訳中…

Actualice ImpressCMS a una versión corregida.  Verifique el sitio web oficial de ImpressCMS o los foros de la comunidad para obtener instrucciones específicas de actualización y parches de seguridad.  Asegúrese de que todas las entradas de usuario se validen y escapen adecuadamente para prevenir futuras inyecciones SQL.

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2019-25703 とは何ですか？（ImpressCMS の SQL Injection）

これは、サーバーが SQL クエリが成功したかどうかを示す直接的な応答を攻撃者に提供しないことを意味します。代わりに、攻撃者はサーバーがさまざまなクエリに応答するのにかかる時間に基づいて情報を推測します。

ImpressCMS の CVE-2019-25703 による影響を受けていますか？

侵入テストを実行するか、脆弱性スキャナーを使用すると、ウェブサイトがこの脆弱性に対して脆弱かどうかを特定するのに役立ちます。また、サーバーログを疑わしいパターンについて確認してください。

ImpressCMS の CVE-2019-25703 を修正するにはどうすればよいですか？

すぐにすべての管理者パスワードを変更し、ウェブサイトファイルの整合性を確認し、包括的なセキュリティ監査を実行してください。

CVE-2019-25703 は積極的に悪用されていますか？

さまざまなペンテストツールは、悪用プロセスを自動化するのに役立ちますが、その使用は倫理的かつ法的であり、ウェブサイトの所有者の許可を得てのみ行う必要があります。

CVE-2019-25703 に関する ImpressCMS の公式アドバイザリはどこで確認できますか？

Web Application Firewall (WAF) は、SQL インジェクションを含む一般的な攻撃から Web アプリケーションを保護するセキュリティツールです。ウェブサイトとユーザーの間にフィルターとして機能し、悪意のあるリクエストをブロックします。