重要情報 1. 脆弱性ID: - VDB-276272 - CVE-2024-8368 2. 脆弱性名称: - Code-Projects Hospital Management System 1.0 Login Index.php におけるユーザー名SQLインジェクション 3. CVSS Temp メタスコア: - 6.9 4. 現在の脆弱性価格: - $0〜$5k 5. CTI興味スコア: - 3.92 6. 影響を受けるコンポーネント: - code-projects Hospital Management System 1.0 - ログイン 7. 影響を受けるファイル: - index.php 8. 脆弱性の説明: - この脆弱性は、index.phpファイルのログインコンポーネントに存在し、ユーザー名パラメータへの制御できない入力により、SQLインジェクション攻撃が可能になります。 - 本問題はCWE-89で定義されています。 - 本製品は、外部から影響を受ける入力を使用してSQLコマンドを構築していますが、特殊な要素の適切なエスケープ(中和)が行われていない、または行われていないため、下流のコンポーネントがSQLコマンドを改ざんする可能性があります。 - 機密性、完全性、可用性に影響を与えます。 9. 脆弱性の悪用: - リモートから悪用可能。 - 公開されており、悪用される可能性がある。 10. 脆弱性ID: - CVE-2024-8368 11. 脆弱性タイプ: - SQLインジェクション 12. 脆弱性の深刻度: - 深刻 13. 脆弱性の悪用難易度: - 容易 14. 脆弱性の悪用方法: - 認証不要 15. 技術詳細: - 公開済み 16. MITRE ATT&CKプロジェクト: - T1505 17. 脆弱性悪用ツール: - プロトタイプ(PoC) - Googleハッキングを用いて を検索することで、脆弱なターゲットを検出可能 18. 推奨対策: - 影響を受けるコンポーネントの置き換えが必要となる可能性があります。 19. 関連脆弱性: - VDB-268901, VDB-269162, VDB-269620, VDB-270392 まとめ この脆弱性は、Code-Projects Hospital Management System 1.0のログインコンポーネントのindex.phpファイルに存在する深刻なSQLインジェクション脆弱性です。この脆弱性を悪用することで、攻撃者はリモートからSQLコマンドを実行でき、これにより機密性の高い情報の窃取やシステムの乗っ取りがもたらされる可能性があります。潜在的なセキュリティリスクを回避するため、速やかな修復を推奨します。