CRITICALCVE-2025-62319CVSS 9.8

複数のUnicaコンポーネントにおけるBoolean-Based SQL Injection

プラットフォーム

other

コンポーネント

unica

修正版

25.1.2

AI Confidence: highNVDEPSS 0.0%レビュー済み: 2026年5月

NVDで見る

保存

CVE-2025-62319は、Unicaのバージョン25.1.1以前に存在するSQLインジェクション脆弱性です。この脆弱性は、BooleanベースのSQLインジェクションを利用して、アプリケーションの入力フィールドを操作し、バックエンド設定クエリに悪意のあるSQLを注入することを可能にします。攻撃者は、この脆弱性を悪用することで、機密情報を窃取したり、システムを改ざんしたりする可能性があります。Unicaのバージョン25.1.1以前を使用している環境は、速やかに最新バージョンにアップデートする必要があります。

影響と攻撃シナリオ

このSQLインジェクション脆弱性は、攻撃者にとって非常に危険です。攻撃者は、BooleanベースのSQLインジェクションを利用することで、データベースの構造やデータに関する情報を段階的に推測し、最終的に機密情報を窃取したり、データベースを改ざんしたりすることが可能になります。特に、Unicaのバックエンド設定クエリに影響を与えるため、システム全体の構成情報や認証情報が漏洩するリスクがあります。この脆弱性が悪用されると、データの完全性が損なわれ、ビジネスへの影響は甚大となる可能性があります。類似のSQLインジェクション攻撃は、過去に多くの企業で発生しており、厳重な対策が必要です。

悪用の状況

CVE-2025-62319は、現時点ではKEV（Known Exploited Vulnerabilities）に登録されていません。EPSS（Exploit Prediction Score System）のスコアは、公開情報が限られているため評価できません。公的なPoC（Proof of Concept）は確認されていませんが、SQLインジェクション脆弱性は一般的に悪用される可能性が高いため、注意が必要です。2026年3月16日に公開されたNVD（National Vulnerability Database）のエントリを参照してください。

リスク対象者翻訳中…

Organizations utilizing Unica for marketing automation and customer relationship management are at risk, particularly those running versions 25.1.1 or earlier. Shared hosting environments where multiple tenants share a database are also at increased risk, as a compromise of one tenant could potentially lead to the compromise of others.

攻撃タイムライン

2026-03-16Disclosure
disclosure

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

インターネット露出高

EPSS

0.04% (12% パーセンタイル)

CISA SSVC

悪用状況none

自動化可能yes

技術的影響total

CVSS ベクトル

影響を受けるソフトウェア

コンポーネントunica

ベンダーHCL

影響範囲修正版

Version 25.1.1 and below – Version 25.1.1 and below25.1.2

弱点分類 (CWE)

CWE-89

タイムライン

予約済み2025-10-10
公開日2026-03-16
更新日2026-03-17
EPSS 更新日2026-03-24

未パッチ — 公開から69日経過

緩和策と回避策

CVE-2025-62319の緩和策として、まずUnicaを最新バージョン（25.1.2以降）にアップデートすることが最も重要です。アップデートが困難な場合は、入力値の検証を厳格化し、SQLインジェクション攻撃を防御するためのWAF（Web Application Firewall）を導入することを検討してください。また、データベースのアクセス権限を最小限に制限し、不要なSQLクエリの実行を禁止するなどの設定変更も有効です。Unicaのログを監視し、異常なSQLクエリの実行を検知する仕組みを構築することも重要です。アップデート後、Unicaのセキュリティ設定を再確認し、SQLインジェクション攻撃に対する防御が適切に行われていることを確認してください。

修正方法

25.1.1より後のバージョンにアップデートしてください。詳細と具体的なアップデート手順については、HCLのナレッジベースの記事を参照してください。

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2025-62319 — SQLインジェクション in Unicaとは何ですか？

CVE-2025-62319は、Unicaのバージョン25.1.1以前に存在するSQLインジェクション脆弱性です。攻撃者はBooleanベースのSQLインジェクションを利用し、バックエンド設定クエリに悪意のあるSQLを注入できます。

CVE-2025-62319 in Unicaに影響を受けますか？

Unicaのバージョン25.1.1以前を使用している場合は、影響を受けます。速やかに最新バージョンにアップデートするか、適切な緩和策を講じる必要があります。

CVE-2025-62319 in Unicaを修正するにはどうすればよいですか？

Unicaを最新バージョン（25.1.2以降）にアップデートすることが最も効果的な修正方法です。アップデートが困難な場合は、入力値の検証を厳格化し、WAFを導入することを検討してください。

CVE-2025-62319は積極的に悪用されていますか？

現時点では公的なPoCは確認されていませんが、SQLインジェクション脆弱性は一般的に悪用される可能性が高いため、注意が必要です。

CVE-2025-62319に関するUnicaの公式アドバイザリはどこで入手できますか？

Unicaの公式アドバイザリは、Unicaのサポートサイトまたはセキュリティ情報ページで確認できます。