PHPGurukul Online Shopping Portal Project Parameter sub-category.php SQLインジェクション

PHPGurukul Online Shopping Portal Project 2.1において、/sub-category.phpファイルおよびParameter Handlerコンポーネント内でSQLインジェクションの脆弱性が特定されました。この脆弱性は、'pid'引数の不適切な処理に起因し、悪意のあるSQLコードの挿入を可能にします。リモートからの悪用が可能であり、ネットワークアクセスのある場所から攻撃者がこの弱点を悪用できることを意味します。この脆弱性はCVSS 6.3で評価されており、中程度のリスクを示しています。悪用が成功した場合、攻撃者はデータベース内の機密データを取得、変更、または削除できる可能性があり、システムの整合性と機密性を損なう可能性があります。エクスプロイトの公開により、攻撃のリスクが大幅に高まります。

1. 予約済み2026-04-04
2. 公開日2026-04-05
3. 更新日2026-04-06
4. EPSS 更新日2026-04-12

現時点では、PHPGurukulからこの脆弱性に対する公式な修正は提供されていません。最も直接的な軽減策は、利用可能な場合はOnline Shopping Portal Projectの新しいバージョンにアップグレードすることです。その間は、特に'pid'引数の入力検証とサニタイズを厳密に行うことを強くお勧めします。Prepared statementsまたはストアドプロシージャを使用することで、SQLインジェクションを防ぐのに役立ちます。サーバーログを積極的に監視して、疑わしいアクティビティを検出することも重要です。Web Application Firewall (WAF)を実装して、悪意のあるトラフィックをフィルタリングすることを検討してください。