PHPGurukul Online Shopping Portal Project Parameter categorywise-products.php SQLインジェクション

PHPGurukul Online Shopping Portal Project 2.1において、SQLインジェクションの脆弱性が発見されました。この脆弱性は、/categorywise-products.phpファイル内のParameter Handlerコンポーネントに存在し、cid引数の不適切な処理が原因です。これにより、リモートの攻撃者が任意のSQLクエリを実行できるようになり、データ漏洩、改ざん、または削除につながる可能性があります。ユーザーデータ、製品詳細、注文履歴などの機密情報が危険にさらされる可能性があります。この脆弱性はCVSSスケールで6.3と評価されています。攻撃が成功すると、システムの整合性と機密性が深刻な影響を受け、顧客の信頼とビジネスの評判を損なう可能性があります。

1. 予約済み2026-04-05
2. 公開日2026-04-06
3. EPSS 更新日2026-04-13

現時点では、PHPGurukulからこの脆弱性に対する公式な修正プログラムはリリースされていません。最も迅速かつ効果的な軽減策は、更新プログラムが利用可能になるまで、/categorywise-products.php内の影響を受ける機能を一時的に無効にすることです。SQLインジェクションの可能性のある他の脆弱性を特定し、対処するために、徹底的なコード監査を強く推奨します。SQLクエリで使用されるすべてのユーザー入力、特にパラメータの堅牢な検証とサニタイズが不可欠です。SQLインジェクションを防ぐために、プリペアドステートメントまたはストアドプロシージャの使用を検討してください。サーバーログを積極的に監視して、疑わしいアクティビティを検出します。