HIGHCVE-2026-5634CVSS 7.3

projectworlds Car Rental Project book_car.php SQLインジェクション

プラットフォーム

php

コンポーネント

car-rental-project

修正版

1.0.1

AI Confidence: highNVDEPSS 0.0%レビュー済み: 2026年5月

NVDで見る

保存

Car Rental Projectのバージョン1.0.0から1.0.0において、/book_car.phpファイル内のパラメータハンドラ機能にSQLインジェクションの脆弱性が存在します。攻撃者はfname引数を操作することで、データベースへの不正なアクセスやデータの改ざん、窃取といった影響を引き起こす可能性があります。この脆弱性はリモートから攻撃可能であり、既に公開されているエクスプロイトが存在するため、早急な対応が必要です。No official patch available.

影響と攻撃シナリオ

Car Rental Project 1.0において、/book_car.phpファイルにSQLインジェクションの脆弱性が特定されました。この脆弱性はParameter Handlerコンポーネントに影響を与え、攻撃者が'fname'引数を操作して悪意のあるSQLコードを実行することを可能にします。CVSSスコアは7.3であり、重大度の高い脆弱性であることを示しています。攻撃はリモートで行われ、攻撃者がシステムへの物理的なアクセスを必要としません。公開されているエクスプロイトの存在は状況を悪化させ、攻撃のリスクを高めます。SQLインジェクションにより、攻撃者は機密性の高いデータベースデータをアクセス、変更、または削除し、顧客および企業情報の機密性と整合性を損なう可能性があります。

悪用の状況

この脆弱性は、Parameter Handlerコンポーネント内の/book_car.phpファイルに存在します。攻撃者は、'fname'引数を注入されたSQLコードで操作する悪意のあるリクエストを送信することで、この脆弱性を悪用できます。この脆弱性のリモート性により、攻撃者はアプリケーションが実行されているネットワークへのアクセス権を持つ場所から攻撃を開始できます。公開されているエクスプロイトの存在は、さまざまな技術スキルを持つ攻撃者による悪用の容易さを高めます。潜在的な影響は、機密データの漏洩、データベースの変更、およびシステムの潜在的な乗っ取りです。

リスク対象者翻訳中…

Car rental businesses and organizations utilizing the Car Rental Project software, particularly those hosting their applications on shared hosting environments or without robust input validation measures, are at significant risk. Legacy configurations and deployments that haven't been regularly updated are also vulnerable.

検出手順翻訳中…

• php / web:

curl -s -X POST "http://your-target-domain/book_car.php" -d "fname='; DROP TABLE users;--" | grep "error"

• generic web:

curl -s -X POST "http://your-target-domain/book_car.php" -d "fname='; SELECT version();--" | grep "MySQL"

攻撃タイムライン

2026-04-06Disclosure
disclosure
2026-04-06PoC
poc

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

インターネット露出高

レポート1 脅威レポート

EPSS

0.04% (11% パーセンタイル)

CISA SSVC

悪用状況poc

自動化可能yes

技術的影響

影響を受けるソフトウェア

コンポーネントcar-rental-project

ベンダーprojectworlds

影響範囲修正版

1.0 – 1.01.0.1

弱点分類 (CWE)

CWE-89 CWE-74

タイムライン

予約済み2026-04-05
公開日2026-04-06
更新日2026-04-07
EPSS 更新日2026-04-13

未パッチ — 公開から48日経過

緩和策と回避策

現時点では、この脆弱性に対する公式な修正プログラムは提供されていません。直近の軽減策として、アプリケーションを保護するための追加のセキュリティ対策を実装する必要があります。特に'fname'引数を含むすべてのユーザー入力を、SQLクエリで使用する前に検証およびサニタイズすることを強くお勧めします。SQLインジェクションを防ぐための安全な方法として、プリペアドステートメントまたはストアドプロシージャを使用することが推奨されます。さらに、データベースへのアクセスは必要なユーザーとアプリケーションのみに制限し、データベースのアクティビティを不審なパターンがないか監視する必要があります。プロジェクト開発者に連絡してアップデートを依頼し、セキュリティに関する発表を注意深く追跡することをお勧めします。

修正方法翻訳中…

Actualice el proyecto Car Rental Project a una versión corregida.  Verifique las fuentes oficiales del proyecto para obtener instrucciones específicas de actualización y parches de seguridad.  Implemente medidas de seguridad adicionales, como la validación y el saneamiento de entradas, para mitigar el riesgo de futuras inyecciones SQL.

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2026-5634 とは何ですか？（Car Rental Project の SQL Injection）

SQLインジェクションは、攻撃者がデータベースクエリに悪意のあるSQLコードを挿入できる攻撃技術であり、アプリケーションのセキュリティを損なう可能性があります。

Car Rental Project の CVE-2026-5634 による影響を受けていますか？

CVSS 7.3は、重大度スコアであり、この脆弱性が重大度が高く、セキュリティ上の重大なリスクをもたらすことを示しています。

Car Rental Project の CVE-2026-5634 を修正するにはどうすればよいですか？

すべてのユーザー入力を検証およびサニタイズし、プリペアドステートメントを使用し、データベースへのアクセスを制限し、データベースのアクティビティを監視してください。

CVE-2026-5634 は積極的に悪用されていますか？

現時点では、公式な修正プログラムはありません。アップデートがリリースされるまで、推奨される軽減策を実装してください。

CVE-2026-5634 に関する Car Rental Project の公式アドバイザリはどこで確認できますか？

詳細については、Car Rental Projectの開発者に連絡してください。