CRITICALCVE-2019-7003CVSS 9.3

ACM (SQL Injection) SQLインジェクション

プラットフォーム

other

コンポーネント

avaya-control-manager

修正版

8.0.1

7.0.1

AI Confidence: highNVDEPSS 0.6%レビュー済み: 2026年5月

NVDで見る

保存

CVE-2019-7003は、Avaya Control Managerのレポートコンポーネントに存在するSQLインジェクション脆弱性です。この脆弱性を悪用されると、認証されていない攻撃者が任意のSQLコマンドを実行し、システム上の他のユーザーに関連する機密情報を取得する可能性があります。影響を受けるバージョンは、7.xおよび8.0.xのバージョン（8.0.4.0より前）です。8.0.4.0へのアップデートで修正されています。

影響と攻撃シナリオ

このSQLインジェクション脆弱性は、攻撃者にとって非常に危険です。攻撃者は、脆弱なAvaya Control Managerインスタンスに対してSQLクエリを注入することで、データベース内の機密データにアクセスできる可能性があります。これには、ユーザー名、パスワード、その他の機密情報が含まれる可能性があります。攻撃者は、この情報を利用して、システム内の他のユーザーになりすましたり、機密データにアクセスしたり、さらにはシステムを完全に制御したりする可能性があります。この脆弱性は、特にAvaya Control Managerがインターネットに公開されている場合、深刻なセキュリティリスクをもたらします。攻撃者は、この脆弱性を利用して、ネットワーク全体に横展開を行う可能性もあります。

悪用の状況

CVE-2019-7003は、公開されており、攻撃者による悪用が懸念されています。現時点では、この脆弱性を悪用した具体的な攻撃事例は報告されていませんが、SQLインジェクションは一般的な攻撃手法であり、攻撃者による悪用が容易であると考えられます。CISA KEVカタログへの登録状況は不明です。NVD公開日は2019年7月11日です。

リスク対象者翻訳中…

Organizations utilizing Avaya Control Manager in environments with direct external access to the reporting component are at significant risk. Specifically, deployments with weak network segmentation or inadequate input validation are particularly vulnerable. Shared hosting environments where multiple customers share the same Avaya Control Manager instance also face increased exposure.

検出手順翻訳中…

• linux / server:

journalctl -u avaya-control-manager -g 'SQL injection' | grep -i error

• generic web:

curl -I <avaya_control_manager_reporting_endpoint> | grep SQL

• database (mysql):

SELECT user, password FROM mysql.user WHERE user LIKE '%admin%';

攻撃タイムライン

2019-07-11Disclosure
disclosure

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

インターネット露出高

EPSS

0.63% (70% パーセンタイル)

CVSS ベクトル

影響を受けるソフトウェア

コンポーネントavaya-control-manager

ベンダーAvaya

影響範囲修正版

8.0.x prior to 8.0.4.0 – 8.0.x prior to 8.0.4.08.0.1

7.x – 7.x7.0.1

弱点分類 (CWE)

CWE-89

タイムライン

予約済み2019-01-28
公開日2019-07-11
更新日2024-09-17
EPSS 更新日2026-04-02

緩和策と回避策

この脆弱性への最も効果的な対策は、Avaya Control Managerをバージョン8.0.4.0以降にアップデートすることです。アップデートが利用できない場合、一時的な緩和策として、Webアプリケーションファイアウォール（WAF）を導入して、悪意のあるSQLクエリをブロックすることができます。また、レポートコンポーネントへのアクセスを制限し、不要な機能を無効にすることも有効です。アップデート後、システムログを監視し、異常なSQLクエリの実行がないか確認してください。WAFのルールを調整し、SQLインジェクション攻撃を検知できるように設定することも重要です。

修正方法

Avaya Control Managerをバージョン8.0.4.0以降にアップデートしてください。これにより、レポートコンポーネントにおける(SQL Injection) SQLインジェクションの脆弱性が修正されます。

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2019-7003 — SQLインジェクションはAvaya Control Managerで何ですか？

CVE-2019-7003は、Avaya Control ManagerのレポートコンポーネントにおけるSQLインジェクション脆弱性であり、攻撃者が機密データにアクセスする可能性があります。

CVE-2019-7003はAvaya Control Managerで影響を受けますか？

Avaya Control Managerのバージョン7.xおよび8.0.x（8.0.4.0より前）が影響を受けます。

CVE-2019-7003はAvaya Control Managerでどうやって修正しますか？

Avaya Control Managerをバージョン8.0.4.0以降にアップデートしてください。

CVE-2019-7003は積極的に悪用されていますか？

現時点では具体的な悪用事例は報告されていませんが、SQLインジェクションは一般的な攻撃手法であり、悪用される可能性があります。

CVE-2019-7003のAvaya公式アドバイザリはどこで入手できますか？

Avayaのセキュリティアドバイザリを参照してください。詳細はAvayaのサポートサイトで確認してください。