PHPGurukul Online Shopping Portal Project Parameter update-image1.php SQLインジェクション

PHPGurukul Online Shopping Portal Projectのバージョン2.1において、SQLインジェクションの脆弱性（CVE-2026-5641）が発見されました。この脆弱性は、ファイル/admin/update-image1.php内の不明な関数、特にfilename引数の処理に関連しています。攻撃者は、この引数を操作することで、データベースに対して悪意のあるSQLクエリを実行できます。この脆弱性の深刻度は、CVSSスケールで6.3と評価されており、中程度のリスクを示しています。エクスプロイトが公開されているという事実は、悪意のある攻撃者が脆弱性を特定し利用しやすくなるため、リスクを大幅に高めます。SQLインジェクションにより、攻撃者は機密データをアクセス、変更、または削除し、システムの整合性と機密性を損なう可能性があります。

1. 予約済み2026-04-05
2. 公開日2026-04-06
3. EPSS 更新日2026-04-13

PHPGurukulは、この脆弱性に対する公式な修正プログラムをまだ公開していません。最も効果的な即時対策は、より安全なバージョンのOnline Shopping Portal Projectにアップグレードすることです。その間は、特にファイル名に対して、すべてのユーザー入力を厳密に検証およびサニタイズすることが強く推奨されます。SQLクエリに直接ユーザー入力を連結するのではなく、パラメータ化されたクエリまたはストアドプロシージャを使用することで、SQLインジェクションを防止できます。さらに、/admin/update-image1.phpファイルへのアクセスを許可されたユーザーのみに制限し、システムを不審な活動がないか監視することが推奨されます。プロジェクトのページを積極的に監視し、パッチまたはアップデートの発表がないか確認してください。