プラットフォーム
wordpress
コンポーネント
directorist-booking
修正版
3.0.2
CVE-2026-22336は、Directorist BookingにおいてSQLインジェクションの脆弱性が確認されています。この脆弱性は、攻撃者がSQLコマンドに特殊文字を注入し、データベースへの不正アクセスを可能にする可能性があります。影響を受けるバージョンは、Directorist Bookingの0.0.0から3.0.2までのものです。開発者はバージョン3.0.2へのアップデートを推奨しています。
このSQLインジェクション脆弱性を悪用されると、攻撃者はデータベース内の機密情報(ユーザー名、パスワード、予約情報など)を窃取したり、データベースの構造を改ざんしたりする可能性があります。最悪の場合、ウェブサイト全体の機能停止やデータの完全な消失につながることも考えられます。データベースへの不正アクセスは、さらなる攻撃の足がかりとなり、他のシステムへの横展開(lateral movement)を可能にするリスクも伴います。類似のSQLインジェクション攻撃は、過去に多くのウェブアプリケーションで確認されており、その影響の大きさが懸念されます。
このCVEは2026年4月27日に公開されました。現時点では、公開されているPoCは確認されていませんが、SQLインジェクションは一般的な攻撃手法であり、悪用される可能性は高いと考えられます。CISA KEVへの登録状況は不明です。攻撃者は、この脆弱性を利用して、Directorist Bookingを搭載したウェブサイトを標的とした攻撃を開始する可能性があります。
エクスプロイト状況
EPSS
0.04% (12% パーセンタイル)
CISA SSVC
CVSS ベクトル
この脆弱性への最も効果的な対策は、Directorist Bookingをバージョン3.0.2にアップデートすることです。アップデートが困難な場合は、ウェブアプリケーションファイアウォール(WAF)を導入し、SQLインジェクション攻撃を検知・防御するルールを設定してください。また、入力値の検証を強化し、特殊文字のフィルタリングを行うことで、攻撃のリスクを軽減できます。データベースのアクセス権限を最小限に抑え、不要な権限を削除することも重要です。アップデート後、データベースの整合性を確認し、不正アクセスがないか監視してください。
既知の修正パッチはありません。脆弱性の詳細を詳細に検討し、組織のリスク許容度に基づいて軽減策を実施してください。影響を受けるソフトウェアをアンインストールし、代替手段を見つけるのが最善かもしれません。
脆弱性分析と重要アラートをメールでお届けします。
CVE-2026-22336は、Directorist Bookingのバージョン0.0.0~3.0.2において、攻撃者がSQLコマンドに特殊文字を注入し、データベースへの不正アクセスを可能にするSQLインジェクションの脆弱性です。
Directorist Bookingのバージョン0.0.0~3.0.2を使用している場合は、影響を受けます。バージョン3.0.2にアップデートすることで、この脆弱性を解消できます。
Directorist Bookingをバージョン3.0.2にアップデートしてください。アップデートが難しい場合は、WAFの導入や入力値の検証強化などの対策を講じてください。
現時点では、公開されているPoCは確認されていませんが、SQLインジェクションは一般的な攻撃手法であり、悪用される可能性は高いと考えられます。
公式のアドバイザリは、Directorist Bookingのウェブサイトで確認できます。詳細な情報やアップデート手順については、そちらを参照してください。
依存関係ファイルをアップロードすれば、このCVEや他のCVEがあなたに影響するか即座にわかります。