itsourcecode Construction Management System borrowed_equip.php パラメータ SQLインジェクション

itsourcecode Construction Management Systemのバージョン1.0において、SQLインジェクションの脆弱性が確認されました。この脆弱性は、/borrowed_equip.phpファイル内の不明な関数、特に「Parameter Handler」コンポーネント内に存在します。攻撃者は、「emp」引数を操作することで、悪意のあるSQLコードを挿入してこの欠陥を利用できます。この脆弱性の深刻度はCVSS 6.3と評価されており、中程度のリスクを示しています。リモートからの悪用が可能であり、ネットワークアクセスのある場所から攻撃者が脆弱性を悪用できることを意味します。脆弱性の公的開示により、攻撃者が脆弱性を知るようになり、エクスプロイトを開発するリスクが高まります。

Construction companies and businesses utilizing the itsourcecode Construction Management System, particularly those with publicly accessible instances or weak security configurations, are at significant risk. Organizations relying on this system for managing project data and financial information are especially vulnerable to data breaches and operational disruptions.

• php: Examine the /borrowedequip.php file for unsanitized use of the 'emp' parameter in SQL queries. Search for patterns like mysqliquery or PDO::query where user input is directly concatenated into the query string.

// Example of vulnerable code
$emp = $_GET['emp'];
$sql = "SELECT * FROM users WHERE username = '$emp';";
mysqli_query($conn, $sql);

• generic web: Monitor access logs for requests to /borrowed_equip.php with unusual or malicious-looking values in the 'emp' parameter (e.g., containing single quotes, semicolons, or SQL keywords). • generic web: Use a WAF to detect and block SQL injection attempts targeting the /borrowed_equip.php endpoint. Configure rules to identify common SQL injection patterns and payloads.

1. 2026-04-06Disclosure

   disclosure

1. 予約済み2026-04-06
2. 公開日2026-04-06
3. EPSS 更新日2026-04-14

現時点では、itsourcecodeの開発者からこの脆弱性に対する公式な修正（fix）は提供されていません。itsourcecode Construction Management Systemのバージョン1.0を使用しているユーザーは、リスクを軽減するために直ちに措置を講じるよう強く推奨されます。これには、システムへのアクセスを制限するためのネットワークのセグメンテーション、ファイアウォールと侵入検知システムの導入、システムログの悪意のある活動の監視などが含まれます。また、可能な限り早くベンダーにセキュリティアップデートを要求することも強く推奨されます。パッチがリリースされるまで、アプリケーションは安全でないものと見なされるべきです。