プラットフォーム
php
コンポーネント
querymine-sms
修正版
7.0.1
QueryMine sms には、SQL インジェクションの脆弱性が存在します。この脆弱性を悪用されると、攻撃者は admin/deletecourse.php の GET Request Parameter Handler の引数 ID を操作することで、SQL インジェクションを実行し、機密情報を窃取したり、データベースを改ざんしたりする可能性があります。影響を受けるバージョンは QueryMine sms 0.0.0 から 7ab5a9ea196209611134525ffc18de25c57d9593 です。QueryMine sms は継続的なアップデートを提供するローリングリリースモデルを採用しているため、影響を受ける特定のバージョン情報やアップデートバージョンは公開されていません。
QueryMine smsのバージョン7ab5a9ea196209611134525ffc18de25c57d9593までのSQLインジェクションの脆弱性が特定されました。この脆弱性は、admin/deletecourse.phpファイル内の不明な関数、特にGETリクエストパラメータハンドラに影響を与えます。攻撃者は、ID引数を操作することで、この弱点を悪用して悪意のあるSQLコードの実行を可能にする可能性があります。このエクスプロイトはリモートで行われ、攻撃者はネットワークアクセスのある場所から攻撃を開始できます。エクスプロイトの公開により、攻撃のリスクが大幅に高まります。QueryMine smsは継続的なリリースモデルを使用しているため、特定のバージョンの修正は従来の方法では利用できない場合があります。ベンダーの更新を監視し、利用可能になり次第修正を適用することをお勧めします。
SQLインジェクションの脆弱性は、admin/deletecourse.phpファイルに存在し、GETリクエスト内のIDパラメータの操作によってトリガーされます。攻撃者は、このパラメータに悪意のあるSQLコードを注入し、それをデータベースに対して実行できます。このエクスプロイトはリモートで行われ、サーバーへの物理的なアクセスは必要ありません。エクスプロイトの公開により、さまざまな技術スキルを持つ攻撃者にとっての悪用が容易になります。成功したエクスプロイトは、機密情報の開示、データの変更、およびシステムの侵害につながる可能性があります。特定のパッチソリューションがないため、最新のアップデートを適用し、追加のセキュリティ対策を実装することの緊急性が高まります。
Organizations utilizing QueryMine sms for SMS management, particularly those handling sensitive customer data or operating in regulated industries, are at significant risk. Shared hosting environments where multiple users share the same QueryMine instance are also particularly vulnerable, as a compromise of one user's account could potentially expose data for all users.
• linux / server:
journalctl -u querymine -g "SQL injection"• generic web:
curl -I 'http://your-querymine-instance/admin/deletecourse.php?id='; # Check for SQL errors in response headersdisclosure
エクスプロイト状況
EPSS
0.04% (11% パーセンタイル)
CISA SSVC
QueryMine smsの継続的なリリースモデルのため、特定のパッチソリューションは提供されていません。主な軽減策は、QueryMine smsの最新のアップデートが利用可能になったら適用することです。さらに、すべてのユーザー入力を検証およびサニタイズすること、データベースアカウントに最小限の特権の原則を適用すること、および疑わしいアクティビティのネットワークトラフィックを監視することなど、追加のセキュリティ対策を実装することをお勧めします。ネットワークセグメンテーションは、潜在的なエクスプロイトの影響を制限できます。アプリケーションとデータベースのセキュリティ構成をレビューして、他の潜在的な脆弱性を特定して修正することが重要です。Web Application Firewall(WAF)を実装すると、既知の攻撃をブロックするのに役立ちます。
Actualice a la última versión disponible de QueryMine sms. Debido al modelo de lanzamiento continuo, consulte la documentación oficial o contacte con el proveedor para obtener información sobre las versiones específicas afectadas y las actualizaciones disponibles.
脆弱性分析と重要アラートをメールでお届けします。
SQLインジェクションは、攻撃者がデータベースで悪意のあるSQLコードを実行できるようにするセキュリティ脆弱性です。
この脆弱性により、攻撃者が機密情報にアクセスしたり、データを変更したり、システムを制御したりする可能性があります。
できるだけ早くQueryMine smsの最新バージョンにアップデートする必要があります。また、入力検証やネットワークトラフィック監視などの追加のセキュリティ対策を実装する必要があります。
QueryMine smsの継続的なリリースモデルのため、特定のパッチは提供されていません。最新バージョンにアップデートすることが最適な軽減策です。
CVE(Common Vulnerabilities and Exposures)などの脆弱性データベースで、この脆弱性に関する詳細情報を見つけることができます。
CVSS ベクトル