プラットフォーム
php
コンポーネント
phpgurukul-online-shopping-portal-project
修正版
2.1.1
PHPGurukul Online Shopping Portal Project 2.1 の /cancelorder.php において、SQLインジェクションの脆弱性が確認されました。この脆弱性は、引数 oid の不適切な処理が原因で、攻撃者がデータベースを不正に操作する可能性があります。影響を受けるバージョンは 2.1 であり、現時点では公式な修正パッチは提供されていません。攻撃者はリモートからこの脆弱性を悪用できる可能性があります。
PHPGurukul Online Shopping Portal Project 2.1において、SQLインジェクションの脆弱性が特定されました。この脆弱性は、Parameter Handlerコンポーネントの/cancelorder.phpファイル内に存在します。攻撃者はoid引数を操作して悪意のあるSQLコードを挿入し、データベースの整合性と機密性を損なう可能性があります。CVSSスコアは6.3で、中程度のリスクを示しています。エクスプロイトの公開により、悪用されるリスクが大幅に高まります。これにより、攻撃者は機密情報にアクセスしたり、データを変更したり、システムを制御したりする可能性があります。
この脆弱性は、/cancelorder.php内のoid引数がどのように処理されるかにあります。攻撃者は、この引数を操作してSQLコードを挿入し、そのコードがデータベースに対して実行されます。エクスプロイトがリモートであり、公開されているため、攻撃のリスクは大きいです。攻撃者はこれを利用して顧客情報を盗んだり、在庫を変更したり、Webサイトの操作を妨害したりする可能性があります。迅速な修正がないため、リスクを軽減するために迅速な対応が必要です。
エクスプロイト状況
EPSS
0.01% (1% パーセンタイル)
CISA SSVC
CVSS ベクトル
現時点では、PHPGurukulからこの脆弱性に対する公式な修正はリリースされていません。直近かつ最も効果的な軽減策は、/cancelorder.phpファイルを介して注文キャンセル機能を一時的に無効にすることです。管理者には、新しいOnline Shopping Portal Projectバージョンが利用可能になったら、速やかにアップグレードすることを強く推奨します。パラメータ化されたクエリまたはストアドプロシージャの使用など、安全なコーディングプラクティスを実装することで、将来のSQLインジェクション脆弱性を防止できます。サーバーログを積極的に監視して、疑わしいアクティビティを検出することも重要です。
Actualice el proyecto PHPGurukul Online Shopping Portal Project a una versión corregida que solucione la vulnerabilidad de inyección SQL en el archivo /cancelorder.php. Verifique y sanee las entradas del usuario, especialmente el argumento 'oid', para prevenir la ejecución de código SQL malicioso. Implemente consultas parametrizadas o procedimientos almacenados para mitigar el riesgo de inyección SQL.
脆弱性分析と重要アラートをメールでお届けします。
CVSSスコア6.3は、中程度の深刻度レベルを示します。これは、脆弱性が悪用された場合、重大な影響を与える可能性があるが、重要とは見なされないことを意味します。
機能が不可欠な場合は、Webアプリケーションファイアウォール(WAF)や侵入検知システム(IDS)などの追加のセキュリティ対策を実装してください。
パラメータ化されたクエリまたはストアドプロシージャを使用し、すべてのユーザー入力を検証およびエスケープし、ソフトウェアを最新の状態に保ってください。
OWASP ZAPやBurp Suiteなど、SQLインジェクション脆弱性を特定するのに役立つ脆弱性スキャンツールがいくつかあります。
PHPGurukulの開発者に連絡するか、オンラインセキュリティフォーラムで支援を求めてください。
依存関係ファイルをアップロードすれば、このCVEや他のCVEがあなたに影響するか即座にわかります。