CRITICALCVE-2026-21410CVSS 9.8

CVE-2026-21410: SQL Injection in MasterSCADA BUK-TS

プラットフォーム

other

コンポーネント

csaf

AI Confidence: highNVDEPSS 0.5%レビュー済み: 2026年5月

CVE-2026-21410は、InSAT MasterSCADA BUK-TSの主要なWebインターフェースにおけるSQLインジェクション脆弱性です。この脆弱性を悪用されると、攻撃者はリモートコードを実行できる可能性があります。すべてのバージョンのMasterSCADA BUK-TSが影響を受けます。2026年2月24日に公開され、最新バージョンへのアップデートで修正されています。

影響と攻撃シナリオ

このSQLインジェクション脆弱性は、攻撃者がデータベースの内容を閲覧、変更、削除できる可能性を秘めています。さらに、攻撃者はデータベースサーバー上で任意のコードを実行し、システムを完全に制御する可能性があります。MasterSCADA BUK-TSは産業制御システム（ICS）で利用されることが多いため、この脆弱性の悪用は、重要なインフラストラクチャへの深刻な影響をもたらす可能性があります。攻撃者は、機密情報を盗み出し、システムを停止させ、さらには物理的な損害を引き起こす可能性があります。この脆弱性は、Log4Shellのような広範な影響を及ぼす可能性があります。

悪用の状況

CVE-2026-21410は、2026年2月24日に公開されました。現時点では、この脆弱性を悪用する公開されているPoCは確認されていませんが、SQLインジェクションの一般的な攻撃手法が適用可能であるため、悪用される可能性は高いと考えられます。CISA KEVへの登録状況は不明です。攻撃者によるスキャンや悪用活動が開始される可能性に備え、監視体制を強化する必要があります。

リスク対象者翻訳中…

Organizations utilizing MasterSCADA BUK-TS in critical infrastructure environments, particularly those with limited network segmentation or inadequate input validation practices, are at the highest risk. Facilities relying on legacy configurations or shared hosting environments where the system is exposed to the public internet are also particularly vulnerable.

検出手順翻訳中…

• windows / supply-chain: Monitor PowerShell execution for suspicious SQL commands targeting database connections.

Get-Process | Where-Object {$_.ProcessName -like '*sql*'} | Select-Object Name, Id, CPU

• linux / server: Examine system logs (e.g., /var/log/auth.log, /var/log/syslog) for SQL errors or unusual database activity.

journalctl -u mysqld | grep 'error'

• generic web: Use curl to test the vulnerable endpoint with various SQL injection payloads.

curl 'http://masterscada/vulnerable_endpoint?param=';

攻撃タイムライン

2026-02-24Disclosure
disclosure

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

インターネット露出高

レポート6 件の脅威レポート

EPSS

0.51% (66% パーセンタイル)

CISA SSVC

悪用状況none

自動化可能yes

技術的影響total

影響を受けるソフトウェア

コンポーネントcsaf

ベンダーInSAT

影響範囲修正版

All versions – All versions—

弱点分類 (CWE)

CWE-89

タイムライン

予約済み2026-02-09
公開日2026-02-24
更新日2026-02-26
EPSS 更新日2026-03-23

未パッチ — 公開から89日経過

緩和策と回避策

この脆弱性に対する最も効果的な対策は、MasterSCADA BUK-TSを最新バージョンにアップデートすることです。アップデートが利用できない場合は、Webアプリケーションファイアウォール（WAF）を導入し、SQLインジェクション攻撃をブロックするように設定してください。また、入力検証を強化し、不正なSQLクエリが実行されるのを防ぐための対策を講じることも重要です。データベースのアクセス制御を強化し、不要なアクセスを制限することも有効です。アップデート後、システムを再起動し、SQLインジェクション攻撃に対する脆弱性が解消されていることを確認してください。

修正方法

SQL Injection (SQL Injection) の脆弱性を修正するバージョンに MasterSCADA BUK-TS をアップデートしてください。最新バージョンとアップデート手順については、InSAT のベンダーサイトを参照してください。

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2026-21410 — SQLインジェクションはMasterSCADA BUK-TSで何ですか？

CVE-2026-21410は、MasterSCADA BUK-TSのWebインターフェースにおけるSQLインジェクション脆弱性です。攻撃者はこの脆弱性を悪用して、データベースの内容を操作したり、リモートコードを実行したりする可能性があります。

CVE-2026-21410はMasterSCADA BUK-TSで影響を受けますか？

はい、すべてのバージョンのMasterSCADA BUK-TSがこの脆弱性の影響を受けます。最新バージョンへのアップデートが必要です。

CVE-2026-21410はMasterSCADA BUK-TSでどのように修正しますか？

MasterSCADA BUK-TSを最新バージョンにアップデートすることで修正できます。アップデートが利用できない場合は、WAFの導入や入力検証の強化などの対策を講じてください。

CVE-2026-21410は積極的に悪用されていますか？

現時点では、公開されているPoCは確認されていませんが、悪用される可能性は高いと考えられます。監視体制を強化し、早期に検知できるように準備する必要があります。

CVE-2026-21410のMasterSCADA BUK-TSの公式アドバイザリはどこで入手できますか？

InSATの公式ウェブサイトでアドバイザリを確認してください。詳細はInSATに直接お問い合わせください。