プラットフォーム
php
コンポーネント
phpgurukul-user-registration-login-and-user-management-system
修正版
3.3.1
PHPGurukul User Registration & Login and User Management Systemのバージョン3.3において、SQLインジェクションの脆弱性が確認されました。この脆弱性は、/admin/yesterday-reg-users.phpファイル内の特定の関数におけるID引数の不適切な処理が原因です。攻撃者はこの脆弱性を悪用し、データベースへの不正アクセスやデータの改ざんを行う可能性があります。現時点では公式な修正パッチは提供されていません。
PHPGurukul User Registration & Login and User Management Systemのバージョン3.3において、SQLインジェクションの脆弱性が確認されました。影響を受ける要素は、ファイル/admin/yesterday-reg-users.php内の不明な関数です。'ID'引数の操作により、攻撃者は悪意のあるSQLコードを挿入し、データベースを侵害する可能性があります。リモートでの脆弱性の悪用が可能であり、公開されているエクスプロイトが存在するため、リスクは高くなっています。攻撃者は機密情報にアクセスしたり、データを変更したり、システムを制御したりする可能性があります。CVSSスコアが6.3であることは、中程度から高いリスクを示しており、緊急の対応が必要です。
この脆弱性は、/admin/yesterday-reg-users.phpファイル内に存在し、特に'ID'引数を処理する不明な関数にあります。攻撃者はこの引数を操作してSQLコードを挿入できます。公開されているエクスプロイトの可用性により、脆弱性の悪用が容易になり、攻撃のリスクが高まります。リモートでの脆弱性の悪用は、攻撃者がサーバーへの物理的なアクセスを必要とせずに脆弱性を悪用できることを意味します。公式な修正がないことは状況を悪化させ、ユーザーがシステムを保護するために積極的な措置を講じる必要があります。ユーザー管理システムは重要なコンポーネントであるため、この脆弱性はデータの機密性、完全性、可用性に大きな影響を与える可能性があります。
Organizations using PHPGurukul User Registration & Login and User Management System version 3.3, particularly those with publicly accessible administration interfaces or inadequate input validation, are at significant risk. Shared hosting environments where multiple users share the same database instance are also particularly vulnerable.
• php: Examine web server access logs for requests to /admin/yesterday-reg-users.php with unusual or malformed 'ID' parameters. Look for SQL error messages in the application logs.
• generic web: Use curl to test the endpoint with various SQL injection payloads (e.g., curl 'http://example.com/admin/yesterday-reg-users.php?ID=1' UNION SELECT 1,2,3 -- -).
• database (mysql): If database access is possible, check for unusual database activity or unauthorized data modifications using MySQL's audit logs or query monitoring tools.
disclosure
エクスプロイト状況
EPSS
0.03% (9% パーセンタイル)
CISA SSVC
CVSS ベクトル
現時点では、PHPGurukulからこの脆弱性に対する公式な修正は提供されていません。直近の対策として、アップデートがリリースされるまで、/admin/yesterday-reg-users.phpファイルを一時的に無効にすることが推奨されます。コードの徹底的なセキュリティ監査を実施し、SQLインジェクションの脆弱性を特定して修正することが強く推奨されます。すべてのユーザー入力を検証およびサニタイズするなどの追加のセキュリティ対策を実装することは、将来の攻撃を防ぐために重要です。システムログを積極的に監視し、疑わしいアクティビティを検出して対応することも役立ちます。Web Application Firewall (WAF)を使用して、悪意のあるトラフィックをフィルタリングすることを検討してください。
Actualice el sistema PHPGurukul User Registration & Login and User Management System a una versión corregida. Verifique la documentación del proveedor para obtener instrucciones específicas de actualización. Como explotación pública está disponible, se recomienda aplicar la corrección lo antes posible.
脆弱性分析と重要アラートをメールでお届けします。
SQLインジェクションは、攻撃者がデータベースクエリに悪意のあるSQLコードを挿入できる攻撃技術であり、システムのセキュリティを損なう可能性があります。
システムログを監視して、不正アクセス試行や予期しないデータ変更などの異常なアクティビティがないか確認してください。
システムをネットワークから切り離し、すべてのパスワードを変更し、評価と修正のためにセキュリティ専門家に連絡してください。
SQLインジェクション脆弱性を特定するのに役立つ脆弱性スキャンツールがいくつかあります。侵入テストを実行することも良い方法です。
現時点では、公式な修正のリリース予定日はありません。PHPGurukulのWebサイトとセキュリティフォーラムを監視して、最新情報を入手してください。
依存関係ファイルをアップロードすれば、このCVEや他のCVEがあなたに影響するか即座にわかります。