SourceCodester Student Result Management System HTTP GET リクエスト login_credentials.txt ファイル内でのクリアテキスト保存

SourceCodesterのStudent Result Management Systemバージョン1.0（CVE-2026-5531）に重大な脆弱性が発見されました。このセキュリティ上の欠陥により、ログイン認証情報が/login_credentials.txtファイルに平文で保存される可能性があります。影響を受けるコンポーネントはHTTP GETリクエストハンドラであり、リモート攻撃者は内部ネットワークへのアクセスなしにこの脆弱性を悪用できます。脆弱性の深刻度はCVSSスケールで5.3と評価されており、中程度のリスクを示しています。この脆弱性の公的開示により、攻撃者がこの欠陥を認識し、それを悪用するためのエクスプロイトを開発できるため、悪用のリスクが高まります。利用可能な修正プログラムがないことは、状況をさらに悪化させ、ユーザーをパッチが実装されるまで脆弱な状態に置きます。

Organizations utilizing SourceCodester Student Result Management System versions 1.0.0 through 1.0, particularly those hosting the application on shared hosting environments or without robust file system access controls, are at significant risk. Educational institutions and schools relying on this system to manage student results are especially vulnerable.

• php / server:

find /var/www/html -name 'login_credentials.txt' -print

• generic web:

curl -I http://your-student-result-system.com/login_credentials.txt

Check for a 200 OK response, indicating the file is accessible. • generic web:

grep -r 'username:.*password:' /var/www/html

Search for username/password patterns in the codebase.

1. 2026-04-05Disclosure

   disclosure

1. 予約済み2026-04-04
2. 公開日2026-04-05
3. 更新日2026-04-06
4. EPSS 更新日2026-04-12

CVE-2026-5531に対する公式な修正プログラムが利用できないため、軽減策は攻撃対象領域を減らし、/login_credentials.txtファイルへのアクセスを制限することに焦点を当てる必要があります。デフォルトのシステムパスワードを変更し、最小特権の原則を適用して、このファイルへのアクセスを承認されたユーザーのみに制限することを強くお勧めします。さらに、資格情報を平文で保存しない、より安全なパスワード管理システムの実装を検討してください。システムログを監視して疑わしいアクティビティを検出および対応することも役立ちます。利用可能になり次第、パッチが適用されたシステムのバージョンにアップグレードすることが、最終的な解決策です。