プラットフォーム
php
コンポーネント
jkev
修正版
1.0.1
1.0.1
CVE-2026-5575は、SourceCodester/jkev Record Management SystemのLoginコンポーネントのindex.phpファイルにおけるSQLインジェクション脆弱性です。この脆弱性は、攻撃者がUsername引数を操作することで、データベースへの不正アクセスを可能にし、機密情報の漏洩や改ざんを引き起こす可能性があります。影響を受けるバージョンは1.0.0から1.0です。現時点では公式なパッチは提供されていません。
SourceCodester/jkev Record Management Systemのバージョン1.0において、SQLインジェクションの脆弱性が検出されました。この脆弱性は、ログインコンポーネントのindex.phpファイル内の不明な機能に影響を与えます。Username引数の操作により、攻撃者は悪意のあるSQLコードを挿入できます。攻撃はリモートで実行できるため、リスクは高くなります。CVSSスコアは7.3であり、高いリスクを示しています。エクスプロイトが公開されているため、攻撃を受ける可能性が高まり、脆弱性への対処が急務となっています。
このSQLインジェクション脆弱性のエクスプロイトは公開されており、攻撃者が利用しやすくなっています。脆弱性は、ログインコンポーネントのindex.phpファイルに存在し、特にUsername引数の処理方法にあります。攻撃者はこの引数を操作して、システムによって実行される悪意のあるSQLコードを挿入できます。攻撃がリモートで行われるため、攻撃者はサーバーへの物理的なアクセスなしにこの脆弱性を悪用できます。成功した場合の影響としては、機密データへの不正アクセス、データの改ざん、システムの侵害などが考えられます。
Organizations using the jkev Record Management System, particularly those hosting the application on shared hosting environments or without robust security controls, are at increased risk. Systems with default configurations or weak password policies are especially vulnerable.
• php: Examine web server access logs for suspicious requests targeting index.php with unusual characters in the Username parameter. Use grep to search for patterns indicative of SQL injection attempts.
grep 'username=.*;' /var/log/apache2/access.log• generic web: Use curl to test the login endpoint with various payloads designed to trigger SQL injection errors.
curl -X POST -d "username='; DROP TABLE users;--" http://your-record-management-system/index.php• database (mysql): If database access is possible, check for unusual database activity or unauthorized table modifications using MySQL CLI.
mysql -u root -p -e "SHOW TABLES;"disclosure
エクスプロイト状況
EPSS
0.04% (11% パーセンタイル)
CISA SSVC
CVSS ベクトル
現時点では、開発者からこの脆弱性に対する公式な修正(fix)は提供されていません。最も効果的な即時対策は、セキュリティアップデートがリリースされるまでSourceCodester/jkev Record Management Systemへのアクセスを無効化または制限することです。ソースコードの徹底的なセキュリティ監査を実施し、SQLインジェクション脆弱性を特定して修正することを強くお勧めします。すべてのユーザー入力を検証およびサニタイズするなどの追加のセキュリティ対策を実装することで、将来のSQLインジェクション攻撃を防ぐことができます。システムログを監視して疑わしいアクティビティを検出することも重要です。
Actualice el sistema Record Management System a una versión corregida. Verifique la fuente oficial (SourceCodester) para obtener la última versión y las instrucciones de actualización. Como explotación es pública, se recomienda aplicar la corrección lo antes posible.
脆弱性分析と重要アラートをメールでお届けします。
CVSS 7.3は、高いリスクを示す深刻度スコアです。これは、脆弱性が比較的簡単に悪用でき、システムの機密性、完全性、可用性に大きな影響を与える可能性があることを意味します。
このバージョンのシステムを使用している場合は、修正がリリースされるまですぐに無効にしてください。より安全な代替手段への移行を検討してください。
すべてのユーザー入力を検証およびサニタイズし、パラメータ化されたクエリまたはストアドプロシージャを使用し、最小特権の原則を適用してください。
はい、コード内のSQLインジェクション脆弱性を検出するのに役立つセキュリティスキャンツールがいくつかあります。
KEV(Knowledge Environment Vulnerabilities)は、脆弱性の分類システムです。この脆弱性にKEVが関連付けられていないという事実は、このシステム内で正式に分類されていないことを意味します。
依存関係ファイルをアップロードすれば、このCVEや他のCVEがあなたに影響するか即座にわかります。