プラットフォーム
php
コンポーネント
itsourcecode
修正版
1.0.1
itsourcecode Construction Management System 1.0.0–1.0において、/borrowedtool.phpの特定の機能にSQLインジェクションの脆弱性が存在します。この脆弱性を悪用されると、攻撃者はデータベースを不正に操作し、機密情報を盗み出す可能性があります。現在、公式なパッチは公開されていません。
itsourcecode Construction Management Systemのバージョン1.0において、SQLインジェクションの脆弱性が発見されました。この脆弱性は、/borrowedtool.phpファイルの不明な関数に存在し、引数のコードの操作を通じて悪用される可能性があります。リモートの攻撃者は、この脆弱性を利用して悪意のあるSQLクエリを実行し、データベースの機密性と整合性を損なう可能性があります。影響には、データの漏洩、データの改ざん、さらにはシステムの乗っ取りが含まれる可能性があります。機能的なエクスプロイトの公開は、標的型攻撃のリスクを大幅に高めます。公式な修正プログラムがないため、徹底的な評価と代替の緩和策の実施が必要です。
/borrowedtool.phpのSQLインジェクション脆弱性は、リモートの攻撃者が関数の引数を操作して悪意のあるSQLコードを挿入することを可能にします。機能的なエクスプロイトが公開されているということは、攻撃者がすでにこの脆弱性を悪用するための実績のあるツールを持っていることを意味し、自動化された標的型攻撃のリスクを大幅に高めます。このエクスプロイトは、関数の入力パラメータにSQLステートメントを挿入することに依存している可能性が高く、攻撃者がデータベースで任意のコマンドを実行できるようにします。入力の検証不足がこの脆弱性の根本原因です。必要でない場合は、緩和策が実装されるまで、影響を受ける関数を一時的に無効にすることをユーザーにお勧めします。
エクスプロイト状況
EPSS
0.03% (9% パーセンタイル)
CISA SSVC
CVSS ベクトル
公式な修正プログラム(fix: none)が提供されていないため、直ちに予防措置を講じることを強くお勧めします。これには、将来的に利用可能になった場合は安全なバージョンへのアップグレード、悪意のあるトラフィックをフィルタリングするためのWebアプリケーションファイアウォール(WAF)の導入、すべてのユーザー入力の厳格な検証とサニタイズ、データベースアカウントへの最小権限の原則の適用が含まれます。システムログを積極的に監視して、疑わしいアクティビティがないか確認することが重要です。さらに、ソースコードの包括的なセキュリティ監査を実施して、他の潜在的な脆弱性を特定し、修正することをお勧めします。公式な修正プログラムがないことは、システム管理者にデータ保護のより大きな責任を負わせます。
Actualice el sistema de gestión de la construcción itsourcecode a una versión corregida. Verifique la documentación del proveedor para obtener instrucciones específicas de actualización. Como explotación publicada, se recomienda aplicar la corrección lo antes posible para mitigar el riesgo de inyección SQL.
脆弱性分析と重要アラートをメールでお届けします。
これは、この脆弱性のためのユニークな識別子であり、セキュリティレポートで追跡および参照するために使用されます。
これは、攻撃者がアプリケーションに悪意のあるSQLコードを挿入して、データベースにアクセスまたは操作することを可能にする攻撃の一種です。
推奨される緩和策を実装し、システムを疑わしいアクティビティがないか監視し、潜在的なセキュリティアップデートに関する情報を入手してください。
提供された情報によると、現在公式な修正プログラムは利用できません(fix: none)。
すべてのユーザー入力を検証およびサニタイズし、パラメータ化されたクエリまたはストアドプロシージャを使用し、最小権限の原則を適用し、ソフトウェアを最新の状態に保ってください。
依存関係ファイルをアップロードすれば、このCVEや他のCVEがあなたに影響するか即座にわかります。