HIGHCVE-2026-5648CVSS 7.3

code-projects Simple Laundry System Parameter userfinishregister.php における SQL インジェクション

プラットフォーム

php

コンポーネント

simple-laundry-system

修正版

1.0.1

AI Confidence: highNVDEPSS 0.0%レビュー済み: 2026年4月

NVDで見る

保存

Simple Laundry Systemのバージョン1.0.0から1.0.0には、userfinishregister.phpファイルにおけるSQLインジェクションの脆弱性が存在します。攻撃者はこの脆弱性を悪用し、データベースを不正に操作することが可能です。この脆弱性はリモートから攻撃可能であり、既に公開されています。

影響と攻撃シナリオ

Simple Laundry System 1.0 に、/userfinishregister.php ファイルの Parameter Handler コンポーネントにおいて SQL インジェクションの脆弱性が発見されました。'firstName' 引数の操作により、攻撃者はシステムのデータベース上で悪意のある SQL コードを実行できます。この脆弱性は CVSS スコア 7.3 を持ち、高いリスクを示しています。リモートでの悪用が可能であり、機能するエクスプロイトが公開されているため、攻撃者はこれを積極的に悪用する可能性があります。SQL インジェクションにより、攻撃者はユーザー情報、パスワード、トランザクション詳細などの機密データにアクセスしたり、変更したり、削除したりする可能性があります。利用可能な修正プログラムがないことは状況を悪化させ、リスクを軽減するために迅速な対応が必要です。

悪用の状況

この脆弱性は、Simple Laundry System 1.0 の Parameter Handler コンポーネント内の /userfinishregister.php ファイルに存在します。攻撃者は、HTTP リクエスト内の 'firstName' 引数を操作することで、この脆弱性を悪用できます。公開されているエクスプロイトは、悪意のある SQL コードの実行を容易にし、データベースへの不正アクセスを許可します。リモートでの悪用が可能であり、Simple Laundry System が実行されているネットワークへのアクセス権を持つ場所から攻撃者が攻撃を開始できることを意味します。機能するエクスプロイトの可用性は、脆弱性に関する深い知識を必要とせずに攻撃者がそれを利用できるため、悪用のリスクを大幅に高めます。

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

インターネット露出高

レポート1 脅威レポート

EPSS

0.04% (12% パーセンタイル)

CISA SSVC

悪用状況poc

自動化可能yes

技術的影響

影響を受けるソフトウェア

コンポーネントsimple-laundry-system

ベンダーcode-projects

影響範囲修正版

1.0 – 1.01.0.1

弱点分類 (CWE)

CWE-89 CWE-74

タイムライン

予約済み2026-04-05
公開日2026-04-06
EPSS 更新日2026-04-13

未パッチ — 公開から48日経過

緩和策と回避策

CVE-2026-5648 に対して公式な修正プログラムが利用できないため、直近の軽減策は防御的な対策に焦点を当てています。解決策が実装されるまで、Simple Laundry System 1.0 を一時的に無効にすることを強くお勧めします。無効にできない場合は、特に 'firstName' フィールドなど、すべてのユーザー入力の厳格な検証とサニタイズなどの追加のセキュリティコントロールを適用する必要があります。Web Application Firewall (WAF) を実装することで、既知の攻撃をブロックするのに役立ちます。さらに、Parameter Handler コンポーネントのソースコードをレビューして、基盤となる脆弱性を特定し修正する必要があります。疑わしいパターンを監視してデータベースアクティビティを監視することは、潜在的な攻撃を検出し、対応するために重要です。

修正方法翻訳中…

Actualice el sistema Simple Laundry System a una versión corregida.  Verifique las fuentes oficiales del proveedor (code-projects) para obtener la última versión y las instrucciones de actualización.  Como medida preventiva, implemente validación y saneamiento de entradas en todas las consultas SQL para evitar futuras vulnerabilidades de inyección SQL.

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2026-5648 とは何ですか？（Simple Laundry System の SQL Injection）

SQL インジェクションは、攻撃者がアプリケーションに悪意のある SQL コードを挿入して、データベースからデータをアクセスしたり、変更したり、削除したりできる攻撃の一種です。

Simple Laundry System の CVE-2026-5648 による影響を受けていますか？

'CVE-2026-5648' は、この特定の脆弱性を識別するためのユニークな識別子であり、追跡と参照を容易にします。

Simple Laundry System の CVE-2026-5648 を修正するにはどうすればよいですか？

公式な修正プログラムが提供されるまで、システムを一時的に無効にするか、軽減策を適用することをお勧めします。

CVE-2026-5648 は積極的に悪用されていますか？

現在、この脆弱性に対する公式な修正プログラムは利用できません。

CVE-2026-5648 に関する Simple Laundry System の公式アドバイザリはどこで確認できますか？

入力検証、データサニタイズ、WAF を実装し、データベースアクティビティを監視してください。