脆弱性情報 CVE ID: CVE-2025-12929 Vulnerability ID: VDB-331649, EUVD-2025-41749 製品: SourceCodester Survey Application System 1.0 影響を受けるファイル: /loginRegistration.php 脆弱な関数: save_user/update_user 脆弱なパラメータ: fullname 脆弱性の種類: SQLインジェクション 重大度: Critical CVE分類: CWE-89 エクスプロイトの可用性: Yes エクスプロイトソース: GitHub エクスプロイト技術: ATT&CK T1505 攻撃ベクトル: Remote 認証の必要性: No 影響: Confidentiality, Integrity, and Availability 概要 SourceCodester Survey Application System 1.0のsave_user/update_user関数において、重大なSQLインジェクション脆弱性が確認されました。この脆弱性は、/loginRegistration.phpファイル内の'fullname'パラメータを操作することで、リモートから悪用可能です。 詳細 この脆弱性は、'fullname'パラメータ内の特殊要素の不適切な中和に起因し、SQLインジェクションにつながります。悪用は容易であり、公開されているエクスプロイトが存在します。この攻撃には認証が必要なく、リモートから開始できます。