脆弱性情報 CVE ID: CVE-2024-3423 製品およびバージョン: SourceCodester Online Courseware 1.0 脆弱性タイプ: SQLインジェクション 深刻度: Critical(重大) 影響を受けるファイル: admin/activateteach.php 影響を受けるパラメータ: selector CVEマッピング: CWE-89 脆弱性概要 SourceCodester Online Courseware 1.0において、深刻度が重大に評価されるSQLインジェクション脆弱性が発見されました。ファイル 内の不明な機能が、パラメータ の操作によりSQLインジェクションを招いています。リモートからの利用攻撃が可能であり、攻撃ツールの利用も確認されています。 脆弱性詳細 SourceCodester Online Courseware 1.0において、SQLインジェクション脆弱性が発見されました。これはファイル 内のパラメータ に不正な入力が使用されることで発生します。CWE定義に基づく問題分類はCWE-89です。アップストリームコンポーネントからの外部影響を受ける入力により、SQLコマンドの全部または一部が構築されていますが、SQLコマンドを意図通りに改ざんする可能性のある特殊要素が適切にサニタイズ(無害化)されていない、または誤ってサニタイズされています。これにより、機密性、完全性、および可用性が影響を受けます。 脆弱性の影響 github.com上の advisories を参照してください。この脆弱性は CVE-2024-3423 として識別されています。悪用は容易であることが知られており、攻撃はリモートから開始可能です。技術的な詳細および既知の公的な脆弱性利用コード(Exploit)が存在します。この問題で使用される攻撃手法は、MITRE ATT&CKフレームワークにおける T1505 です。 脆弱性の利用 脆弱性利用ツールは github.com で提供されており、概念実証(PoC)としての利用が宣言されています。 による検索を用いたGoogle Hackによって、脆弱性の対象を特定できます。 緩和策 対策に関する情報はありません。影響を受ける対象は代替製品に置き換えることを推奨します。