CRITICALCVE-2025-10970CVSS 9.8

Kolay SoftwareのTalenticsにおけるSQLi

プラットフォーム

other

コンポーネント

talentics

修正版

20022026.0.1

AI Confidence: highNVDEPSS 0.0%レビュー済み: 2026年5月

NVDで見る

保存

CVE-2025-10970は、Kolay Software Inc. TalenticsにおけるSQLインジェクション脆弱性です。攻撃者はこの脆弱性を悪用することで、データベース内の機密情報に不正にアクセスしたり、改ざんしたりする可能性があります。この脆弱性はTalenticsのバージョン20022026以前に影響を与えます。バージョン20022026.0.1へのアップデートで修正されています。

影響と攻撃シナリオ

このSQLインジェクション脆弱性は、攻撃者にとって非常に危険です。攻撃者は、Talenticsアプリケーションに悪意のあるSQLクエリを注入することで、データベース内のあらゆるデータにアクセスできる可能性があります。これには、ユーザーの認証情報、機密データ、財務情報などが含まれます。攻撃者は、データの窃取だけでなく、データベースの改ざんや削除も実行できる可能性があります。この脆弱性は、類似のSQLインジェクション攻撃と同様に、広範囲な被害をもたらす可能性があります。特に、Talenticsを重要な業務システムとして利用している組織にとっては、深刻な脅威となります。

悪用の状況

この脆弱性は、公開されており、攻撃者による悪用が懸念されます。CISA KEVカタログへの登録状況は不明ですが、CVSSスコアがCRITICALであることから、攻撃の可能性は高いと考えられます。攻撃者によるPoC（Proof of Concept）の公開状況は不明ですが、SQLインジェクションは一般的な攻撃手法であるため、攻撃コードが公開される可能性はあります。Kolay Software Inc.は、この脆弱性について早期に連絡を受けたものの、対応は行っていません。

リスク対象者翻訳中…

Organizations utilizing Talentics for customer relationship management, data storage, or any application where sensitive data is processed are at significant risk. Legacy deployments of Talentics, particularly those without robust security controls, are especially vulnerable. Shared hosting environments where multiple tenants share the same database instance are also at increased risk.

攻撃タイムライン

2026-02-20Disclosure
disclosure

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

インターネット露出高

EPSS

0.04% (12% パーセンタイル)

CISA SSVC

悪用状況none

自動化可能yes

技術的影響total

CVSS ベクトル

影響を受けるソフトウェア

コンポーネントtalentics

ベンダーKolay Software Inc.

影響範囲修正版

0 – 2002202620022026.0.1

弱点分類 (CWE)

CWE-89

タイムライン

予約済み2025-09-25
公開日2026-02-20
更新日2026-03-25
EPSS 更新日2026-03-23

緩和策と回避策

Talenticsのバージョンを20022026.0.1にアップデートすることが、この脆弱性に対する最も効果的な対策です。アップデートが利用できない場合は、SQLインジェクション攻撃を軽減するための一時的な対策を講じる必要があります。これには、入力データの検証とサニタイズ、データベースアクセスの制限、WAF（Web Application Firewall）の導入などが含まれます。また、データベースのバックアップを定期的に実行し、万が一の事態に備えることも重要です。アップデート後、アプリケーションの動作を十分にテストし、意図しない動作がないことを確認してください。

修正方法

SQLインジェクションの脆弱性を修正する20022026より後のバージョンのTalenticsにアップデートしてください。更新されたバージョンを入手するためにベンダーに連絡するか、推奨されるセキュリティ対策を適用してください。

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2025-10970 — SQLインジェクションはTalenticsで何ですか？

CVE-2025-10970は、Kolay Software Inc. Talenticsにおいて、SQLコマンドにおける特殊文字の不適切な無効化（SQLインジェクション）脆弱性です。攻撃者はこの脆弱性を悪用して、データベース内の機密情報に不正にアクセスする可能性があります。

CVE-2025-10970はTalenticsで影響を受けますか？

はい、Talenticsのバージョン20022026以前がCVE-2025-10970の影響を受けます。バージョン20022026.0.1にアップデートすることで、この脆弱性を修正できます。

CVE-2025-10970はTalenticsでどのように修正しますか？

Talenticsをバージョン20022026.0.1にアップデートすることで、この脆弱性を修正できます。アップデートが利用できない場合は、入力データの検証やWAFの導入などの対策を講じる必要があります。

CVE-2025-10970は積極的に悪用されていますか？

この脆弱性は公開されており、攻撃者による悪用が懸念されています。攻撃の可能性は高いと考えられます。

CVE-2025-10970に関するTalenticsの公式アドバイザリはどこで入手できますか？

Kolay Software Inc.からの公式アドバイザリは、現時点では公開されていません。今後の情報にご注意ください。