CRITICALCVE-2026-31896CVSS 9.8

WeGIA には remover_produto_ocultar.php に時間ベースのブラインド SQL インジェクション (Time-Based Blind SQL Injection) の脆弱性が存在します。

Q: CVE-2026-31896 — SQLインジェクションはWeGIAで何ですか？

CVE-2026-31896は、WeGIAバージョン3.6.6以前におけるSQLインジェクション脆弱性であり、攻撃者がデータベースに不正アクセスする可能性があります。

Q: CVE-2026-31896はWeGIAで影響を受けますか？

WeGIAのバージョンが3.6.6以前の場合、この脆弱性の影響を受けます。バージョン3.6.6以降にアップグレードしてください。

Q: CVE-2026-31896はWeGIAでどのように修正しますか？

WeGIAをバージョン3.6.6以降にアップグレードしてください。アップグレードが難しい場合は、WAFの導入や入力値の検証強化を検討してください。

Q: CVE-2026-31896のWeGIA公式アドバイザリはどこで入手できますか？

WeGIAの公式ウェブサイトまたはセキュリティアドバイザリページで確認してください。（具体的なURLは提供されていません。）

プラットフォーム

php

コンポーネント

wegia

修正版

3.6.7

AI Confidence: highNVDEPSS 0.0%レビュー済み: 2026年5月

NVDで見る

保存

CVE-2026-31896は、慈善団体向けWebマネージャーであるWeGIAにおけるSQLインジェクション脆弱性です。この脆弱性は、バージョン3.6.6以前のWeGIAアプリケーションにおいて、removerprodutoocultar.phpスクリプトの処理不備により発生します。バージョン3.6.6で修正されており、迅速な対応が推奨されます。

影響と攻撃シナリオ

このSQLインジェクション脆弱性を悪用されると、認証された攻撃者（または認証を回避した攻撃者）は、データベースから機密情報を窃取したり、悪意のあるSQLコマンドを実行してサービス拒否を引き起こしたりする可能性があります。攻撃者は、データベースの構造を把握し、ユーザー認証をバイパスし、機密データを漏洩させる可能性があります。PoCでは、時間ベースの遅延（DoS）攻撃が実証されており、攻撃の深刻度を示しています。この脆弱性は、類似のSQLインジェクション攻撃と同様に、広範囲な損害をもたらす可能性があります。

悪用の状況

この脆弱性は、2026年3月11日に公開されました。PoCが公開されており、攻撃の可能性が高まっています。CISA KEVへの登録状況は不明ですが、CVSSスコアがCRITICALであることから、潜在的なリスクが高いと評価されます。攻撃者による悪用が確認された場合、迅速な対応が必要です。

リスク対象者翻訳中…

Charitable institutions and organizations utilizing WeGIA to manage their operations are at significant risk. Specifically, those running older, unpatched versions of WeGIA (≤ 3.6.6) are particularly vulnerable. Shared hosting environments where multiple organizations share the same server infrastructure are also at increased risk, as a compromise of one WeGIA instance could potentially impact others.

検出手順翻訳中…

• php: Examine web server access logs for requests to removerprodutoocultar.php containing suspicious SQL syntax in the request parameters.

grep -iE 'SELECT|INSERT|UPDATE|DELETE|UNION|DROP' /var/log/apache2/access.log | grep remover_produto_ocultar.php

• php: Review the removerprodutoocultar.php script for the use of extract($_REQUEST) and direct concatenation of user-supplied variables into SQL queries. • generic web: Monitor database server logs for unusual SQL queries originating from the WeGIA application server. • database (mysql): Check for unauthorized database users or privilege escalations.

SELECT User, Host FROM mysql.user WHERE Host != 'localhost';

攻撃タイムライン

2026-03-11Disclosure
disclosure
2026-03-11PoC
poc

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

インターネット露出高

レポート2 件の脅威レポート

EPSS

0.03% (10% パーセンタイル)

CISA SSVC

悪用状況poc

自動化可能yes

技術的影響total

影響を受けるソフトウェア

コンポーネントwegia

ベンダーLabRedesCefetRJ

影響範囲修正版

< 3.6.6 – < 3.6.63.6.7

弱点分類 (CWE)

CWE-89

タイムライン

予約済み2026-03-09
公開日2026-03-11
更新日2026-03-12
EPSS 更新日2026-03-23

緩和策と回避策

WeGIAのバージョンを3.6.6以降にアップグレードすることが最も効果的な対策です。アップグレードが困難な場合は、Webアプリケーションファイアウォール（WAF）を導入し、SQLインジェクション攻撃を検知・防御するルールを設定してください。また、入力値の検証を強化し、extract($_REQUEST)の使用を避け、PDO::queryに渡す前に変数を適切にエスケープすることで、脆弱性の悪用を軽減できます。アップグレード後、SQLインジェクション攻撃に対する防御が機能していることを確認してください。

修正方法

WeGIA をバージョン 3.6.6 以降にアップデートしてください。このバージョンには SQL インジェクション (SQL Injection) の脆弱性に対する修正が含まれています。アップデートする前にバックアップを取ることをお勧めします。

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2026-31896 — SQLインジェクションはWeGIAで何ですか？