MEDIUMCVE-2026-5537CVSS 6.3

halex CourseSEL HTTP GET パラメータ IndexController.class.php check_sel SQLインジェクション

プラットフォーム

php

コンポーネント

course-sel

修正版

1.0.1

1.1.1

AI Confidence: highNVDEPSS 0.0%レビュー済み: 2026年4月

NVDで見る

保存

CourseSEL のバージョン 1.0.0 から 1.1.0 には、check_sel 関数における SQL インジェクションの脆弱性が存在します。この脆弱性を悪用されると、攻撃者はデータベースの内容を不正に操作できる可能性があります。現時点では修正プログラムは提供されていません。

影響と攻撃シナリオ

halex CourseSELのバージョン1.1.0以前に、SQLインジェクションの脆弱性が検出されました。この脆弱性は、ファイルApps/Index/Controller/IndexController.class.php内のcheck_sel関数に存在し、HTTP GETリクエストにおけるseidパラメータの操作によって引き起こされます。攻撃者はこの脆弱性を悪用して、データベース上で悪意のあるSQLコードを実行し、機密データが漏洩、変更、または削除される可能性があります。この脆弱性の深刻度はCVSS 6.3と評価されており、中程度のリスクを示しています。ベンダーがこの公開されている脆弱性の早期開示に対して対応しなかったことは、状況を悪化させ、ユーザーを重大なリスクにさらしています。攻撃が成功した場合、CourseSELデータベースに保存されているデータの整合性と機密性が損なわれる可能性があります。

悪用の状況

この脆弱性は、Apps/Index/Controller/IndexController.class.php内のcheck_sel関数を対象としたHTTP GETリクエストにおけるseidパラメータの操作を通じて悪用されます。このエクスプロイトの公開により、さまざまな技術スキルを持つ攻撃者が使用しやすくなります。この脆弱性はリモートであるため、インターネットアクセスできる場所からどこからでも悪用できます。ベンダーの対応がないことは、ソフトウェアのメンテナンスとサポートが不足している可能性を示しており、継続的な悪用のリスクを高めています。この脆弱性は、CourseSELを使用して学生またはコースの機密情報を管理している組織にとって特に懸念されます。

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

インターネット露出高

レポート1 脅威レポート

EPSS

0.03% (8% パーセンタイル)

CISA SSVC

悪用状況poc

自動化可能no

技術的影響

影響を受けるソフトウェア

コンポーネントcourse-sel

ベンダーhalex

影響範囲修正版

1.0 – 1.01.0.1

1.1.0 – 1.1.01.1.1

弱点分類 (CWE)

CWE-89 CWE-74

タイムライン

予約済み2026-04-04
公開日2026-04-05
更新日2026-04-06
EPSS 更新日2026-04-12

未パッチ — 公開から49日経過

緩和策と回避策

ベンダーが修正を提供していないため、直近の軽減策は、halex CourseSELを無効にするか、この脆弱性を修正した最新バージョンにアップグレードすることです。アップグレードが不可能な場合は、SQLインジェクションの試行を検出およびブロックできるWebアプリケーションファイアウォール（WAF）などの追加のセキュリティ対策を実装することをお勧めします。さらに、特にGETパラメータなどのすべてのユーザー入力を厳密に検証およびサニタイズすることが重要です。サーバーログを積極的に監視して、疑わしいSQLインジェクションパターンを検出することも、潜在的な攻撃を検出および対応するのに役立ちます。セキュリティ侵害の潜在的な影響を制限するために、ネットワークセグメンテーションを検討してください。

修正方法翻訳中…

Actualice el módulo CourseSEL a una versión corregida que solucione la vulnerabilidad de inyección SQL en el parámetro seid.  Contacte al proveedor para obtener información sobre las versiones corregidas, ya que no han respondido a las notificaciones de seguridad.  Como medida preventiva, valide y escapa todas las entradas del usuario para evitar futuras inyecciones SQL.

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2026-5537 とは何ですか？（CourseSEL の SQL Injection）

SQLインジェクションは、攻撃者がデータベースクエリに悪意のあるSQLコードを挿入できる攻撃技術であり、アプリケーションのセキュリティを損なう可能性があります。

CourseSEL の CVE-2026-5537 による影響を受けていますか？

攻撃者は、CourseSELデータベースに保存されている機密データを潜在的に開示、変更、または削除する可能性があります。

CourseSEL の CVE-2026-5537 を修正するにはどうすればよいですか？

CourseSELを無効にするか、修正されたバージョンにアップグレードするのが最善の選択肢です。それが不可能な場合は、WAFや入力検証などの追加のセキュリティ対策を実装してください。

CVE-2026-5537 は積極的に悪用されていますか？

ベンダーの対応がないことは懸念されることですが、ソフトウェアのメンテナンスが不足している可能性を示唆しています。

CVE-2026-5537 に関する CourseSEL の公式アドバイザリはどこで確認できますか？

National Vulnerability Database (NVD)などの脆弱性データベースで、CVE-2026-5537に関する詳細情報を入手できます。