CRITICALCVE-2020-7356CVSS 10

Cayin xPost SQL Injection

プラットフォーム

other

コンポーネント

metasploit-framework

修正版

2.5.18104

2.0.1

1.0.1

AI Confidence: highNVDEPSS 61.5%レビュー済み: 2026年5月

NVDで見る

保存

CVE-2020-7356は、Cayin xPostにおいて、認証なしでSQLインジェクションを実行できる重大な脆弱性です。'wayfinder_seqid' GETパラメータの入力が適切にサニタイズされていないことが原因で、攻撃者は悪意のあるSQLコードを注入し、システムコマンドを実行する可能性があります。この脆弱性は、Cayin xPostのバージョン1.0から2.5.18103に影響を与え、バージョン2.5.18104で修正されています。

影響と攻撃シナリオ

このSQLインジェクション脆弱性を悪用すると、攻撃者はデータベース内の機密情報を窃取したり、データベースの構造を改ざんしたりすることが可能です。さらに、SQLインジェクションを通じて、OSコマンドを実行し、サーバー全体の制御を奪取するリスクも存在します。攻撃者は、データベースの認証情報を取得し、他のシステムへのアクセス権を得ることで、ネットワーク全体に影響を及ぼす可能性があります。この脆弱性は、類似のSQLインジェクション攻撃と同様に、広範囲な被害をもたらす可能性があります。

悪用の状況

この脆弱性は、公開されており、悪用される可能性があります。現時点では、CISA KEVリストには登録されていませんが、SQLインジェクション攻撃は一般的な攻撃手法であり、積極的に対策を講じる必要があります。公開されているPoCは確認されていませんが、攻撃者による悪用が懸念されます。NVD公開日は2020年8月6日です。

リスク対象者翻訳中…

Organizations utilizing Cayin xPost for meeting management, particularly those with publicly accessible instances or those lacking robust input validation measures, are at significant risk. Shared hosting environments where multiple users share the same xPost instance are especially vulnerable, as a compromise of one user's account could potentially lead to a broader system compromise.

検出手順翻訳中…

• linux / server:

journalctl -u xpost | grep "wayfinder_seqid"

• generic web:

curl -s 'http://<xpost_server>/wayfinder_meeting_input.jsp?wayfinder_seqid='; echo $? # Check for unusual response codes or errors

攻撃タイムライン

2020-08-06Disclosure
disclosure

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

インターネット露出高

EPSS

61.51% (98% パーセンタイル)

CVSS ベクトル

影響を受けるソフトウェア

コンポーネントmetasploit-framework

ベンダーCayin Technology

影響範囲修正版

2.5.18103 – 2.5.181032.5.18104

2.0 – 2.02.0.1

1.0 – 1.01.0.1

弱点分類 (CWE)

CWE-89

タイムライン

予約済み2020-01-21
公開日2020-08-06
更新日2024-09-17
EPSS 更新日2026-04-02

緩和策と回避策

Cayin xPostのバージョンを2.5.18104以降にアップデートすることが最も効果的な対策です。アップデートが困難な場合は、Webアプリケーションファイアウォール（WAF）を導入し、SQLインジェクション攻撃を検知・防御するルールを設定してください。また、'wayfinder_seqid'パラメータに対する入力検証を強化し、不正なSQLコードの注入を防止する対策を講じることも有効です。データベースのアクセス権限を最小限に制限し、不要な権限を持つユーザーアカウントを削除することも重要です。アップデート後、データベースの整合性を確認し、不正なデータ改ざんがないか確認してください。

修正方法

SQL Injection の脆弱性を修正した Cayin xPost のバージョンにアップデートしてください。修正されたバージョンについてはベンダーにお問い合わせいただくか、SQL Injection のリスクを軽減するための推奨されるセキュリティ対策を適用してください。

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2020-7356 — SQL Injection in Cayin xPostとは何ですか？

CVE-2020-7356は、Cayin xPostのバージョン1.0～2.5.18103において、'wayfinder_seqid'パラメータの入力検証不備によりSQLインジェクションを実行できる脆弱性です。

CVE-2020-7356 in Cayin xPostの影響はありますか？

Cayin xPostのバージョン1.0～2.5.18103を使用している場合、この脆弱性によりデータベースの機密情報が窃取されたり、システムコマンドが実行される可能性があります。

CVE-2020-7356 in Cayin xPostを修正するにはどうすればよいですか？

Cayin xPostのバージョンを2.5.18104以降にアップデートしてください。アップデートが困難な場合は、WAFを導入するなど、代替の対策を講じてください。

CVE-2020-7356は積極的に悪用されていますか？

現時点では、確認されていませんが、公開されている脆弱性であるため、悪用される可能性があります。

CVE-2020-7356に関するCayinの公式アドバイザリはどこで入手できますか？

Cayinの公式アドバイザリは、Cayinのウェブサイトで確認できます。