HIGHCVE-2019-25710CVSS 8.2

Dolibarr ERP-CRM 8.0.4 rowid パラメータを介した SQL インジェクション

プラットフォーム

php

コンポーネント

dolibarr

修正版

8.0.5

AI Confidence: highNVDEPSS 0.0%レビュー済み: 2026年5月

NVDで見る

保存

Dolibarr ERP-CRM 8.0.4 には、admin dict.php エンドポイントの rowid パラメータにおける SQL インジェクションの脆弱性が存在します。この脆弱性を悪用されると、攻撃者はデータベースから機密情報を抽出する可能性があります。影響を受けるバージョンは Dolibarr ERP-CRM 8.0.4 です。現時点では公式なパッチは公開されていません。

影響と攻撃シナリオ

CVE-2019-25710 は、Dolibarr ERP-CRM 8.0.4 における重大なセキュリティリスクを示します。これは、管理セクション内の 'dict.php' エンドポイントの 'rowid' パラメータにおける SQL インジェクション脆弱性です。攻撃者は、'rowid' POST パラメータを介して悪意のある SQL コードを注入することで、この脆弱性を悪用できます。これにより、任意の SQL クエリの実行が可能になり、ユーザーの認証情報、財務データ、機密性の高い顧客情報などの機密性の高いデータベース情報が抽出される可能性があります。公式な修正プログラム (fix: none) がないことは状況を悪化させ、Dolibarr システムを保護するために緊急の軽減策を講じる必要があります。

悪用の状況

この脆弱性は、Dolibarr の管理領域の 'dict.php' エンドポイントを介して悪用されます。攻撃者は、エンドポイントに操作された POST リクエストを送信し、'rowid' パラメータ内に悪意のある SQL コードを含めることができます。注入された SQL コードは、Dolibarr のデータベースのコンテキストで実行され、攻撃者がデータにアクセスまたは変更できるようになります。搾取は、エラーベースの SQL インジェクション技術に依存しており、攻撃者はデータベースのエラーを利用して情報を抽出します。'dict.php' エンドポイントの適切な認証または承認がないことは、搾取を容易にします。攻撃者は有効な資格情報なしでアクセスできる可能性があります。

リスク対象者翻訳中…

Organizations utilizing Dolibarr ERP-CRM version 8.0.4, particularly those handling sensitive financial or customer data, are at significant risk. Shared hosting environments where multiple users share the same database instance are especially vulnerable, as a compromise of one user's account could potentially expose data for other users.

検出手順翻訳中…

• php / web:

grep -r "dict.php?rowid=" /var/www/dolibarr/*

• generic web:

curl -I http://your-dolibarr-instance/dict.php?rowid=1' UNION SELECT 1,version(),user() -- -

攻撃タイムライン

2026-04-12Disclosure
disclosure

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

インターネット露出高

レポート1 脅威レポート

EPSS

0.03% (8% パーセンタイル)

CVSS ベクトル

影響を受けるソフトウェア

コンポーネントdolibarr

ベンダーDolibarr

影響範囲修正版

8.0.4 – 8.0.48.0.5

8.0.48.0.5

弱点分類 (CWE)

CWE-89

タイムライン

予約済み2026-04-12
公開日2026-04-12
EPSS 更新日2026-04-20

未パッチ — 公開から42日経過

緩和策と回避策

CVE-2019-25710 に対する公式な修正プログラムがないため、軽減策は予防的および制限的な対策に焦点を当てています。利用可能な場合は、この脆弱性を修正する Dolibarr のバージョンにアップグレードすることを強くお勧めします。その間は、'dict.php' エンドポイントへのアクセスを制限するために、厳格なアクセス制御を実装する必要があります。特に 'rowid' パラメータを含むすべてのユーザー入力の厳格な検証とサニタイズが重要です。システムログを定期的に監視して、搾取を示唆する疑わしいアクティビティがないか確認してください。追加の保護レイヤーとして、Web Application Firewall (WAF) の導入を検討してください。

修正方法

Dolibarr ERP-CRM を修正されたバージョンにアップデートしてください。利用可能なアップデートと移行手順については、Dolibarr のページを参照してください。アップデートを適用する前に、データベースのバックアップを必ず行ってください。

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2019-25710 とは何ですか？（Dolibarr ERP-CRM の SQL Injection）

これは、Dolibarr ベンダーがこの脆弱性を修正するための公式なアップデートをリリースしていないことを意味します。

Dolibarr ERP-CRM の CVE-2019-25710 による影響を受けていますか？

厳格なアクセス制御、入力検証、ログ監視など、説明されている軽減策を実装してください。

Dolibarr ERP-CRM の CVE-2019-25710 を修正するにはどうすればよいですか？

はい、'dict.php' エンドポイントがインターネットからアクセス可能な場合、この脆弱性はリモートで悪用できます。

CVE-2019-25710 は積極的に悪用されていますか？

Dolibarr データベースに保存されているすべてのデータ、ユーザーの認証情報、財務データ、顧客情報など。

CVE-2019-25710 に関する Dolibarr ERP-CRM の公式アドバイザリはどこで確認できますか？

Web Application Firewall (WAF) は、HTTP トラフィックをフィルタリングし、SQL インジェクションなどの攻撃をブロックできるセキュリティツールです。