【CVE-2025-1201】SourceCodester製Best Church Management Software 1.1にSQL injection脆弱性が発見、教会の個人情報漏洩のリスクに警鐘
記事の要約
- Best Church Management Software 1.1にSQL injectionの脆弱性が発見
- profile_crud.phpファイルに複数のパラメータが影響を受ける可能性
- 脆弱性の深刻度はCVSS 3.1で「MEDIUM」の6.3を記録
SourceCodester製Best Church Management Software 1.1の脆弱性
VulDBは2025年2月12日に、SourceCodester社のBest Church Management Software 1.1において重大な脆弱性【CVE-2025-1201】を公開した。この脆弱性は/admin/app/profile_crud.phpファイルの処理に関連しており、リモートから攻撃を仕掛けることが可能となっている。攻撃手法はすでに一般に公開されており、複数のパラメータが影響を受ける可能性が指摘されているのだ。[1]
この脆弱性はCWE-89およびCWE-74に分類されるSQL injectionの問題であり、CVSS 4.0では5.3、CVSS 3.1および3.0では6.3のスコアが付けられている。攻撃には特権レベルが必要となるものの、ユーザーインターフェースの操作は不要とされており、機密性や整合性、可用性に対して低レベルの影響が及ぶ可能性が指摘されている。
YeSecによって報告されたこの脆弱性の詳細は、VulDBのデータベースにVDB-295109として登録されている。脆弱性の存在が確認されたバージョン1.1のBest Church Management Softwareに対して、現在も対策が必要な状態が続いており、早急な対応が求められている。
Best Church Management Software 1.1の脆弱性詳細
| 項目 | 詳細 |
|---|---|
| CVE番号 | CVE-2025-1201 |
| 影響を受けるバージョン | Best Church Management Software 1.1 |
| 脆弱性の種類 | SQL injection(CWE-89, CWE-74) |
| CVSSスコア | CVSS 4.0: 5.3 (MEDIUM), CVSS 3.1: 6.3 (MEDIUM) |
| 報告者 | YeSec |
| 公開日 | 2025年2月12日 |
SQL injectionについて
SQL injectionとは、Webアプリケーションのデータベース操作において、悪意のあるSQLコードを注入することで、不正にデータベースの操作や情報の窃取を行う攻撃手法のことを指す。主な特徴として、以下のような点が挙げられる。
- 入力値のバリデーション不備を突いた攻撃が可能
- データベースの改ざんや情報漏洩のリスクが存在
- 適切なエスケープ処理やパラメータ化クエリで防御可能
Best Church Management Software 1.1で発見された脆弱性は、profile_crud.phpファイルにおけるSQL injectionの問題であり、CVSSスコアが示すように中程度の深刻度となっている。この脆弱性に対する具体的な攻撃手法がすでに公開されており、複数のパラメータが影響を受ける可能性があるため、早急な対策が必要とされている。
Best Church Management Software 1.1の脆弱性に関する考察
SourceCodester製Best Church Management Software 1.1の脆弱性が教会の運営管理システムで発見されたことは、宗教団体のデジタル化における重要な警鐘となっている。特に profile_crud.php における SQL injection の脆弱性は、教会メンバーの個人情報が漏洩するリスクを含んでおり、早急な対応が必要だ。ただし、この脆弱性の修正には開発元による迅速なセキュリティパッチの提供が不可欠であり、ユーザー側での対応には限界があるだろう。
今後は教会管理システムにおけるセキュリティ基準の策定や、定期的な脆弱性診断の実施が重要となってくる。特にオープンソースソフトウェアを利用する場合、コミュニティによる継続的なセキュリティレビューと、脆弱性報告体制の整備が必要不可欠だ。システムの導入時には、セキュリティ面での評価をより重視する必要がある。
また、教会管理システムの開発者向けに、セキュアコーディングガイドラインの整備や、SQLインジェクション対策の教育プログラムの提供も検討すべきである。今回の脆弱性を契機に、教会管理システム全体のセキュリティレベル向上につながることが期待される。
参考サイト
- ^ CVE. 「CVE: Common Vulnerabilities and Exposures」. https://www.cve.org/CVERecord?id=CVE-2025-1201, (参照 25-02-21).
※上記コンテンツはAIで確認しておりますが、間違い等ある場合はコメントよりご連絡いただけますと幸いです。
- 【CVE-2025-25897】TP-Link TL-WR841ND V11にバッファオーバーフロー脆弱性、DoS攻撃のリスクが発覚
- 【CVE-2025-22480】Dell SupportAssist OS Recoveryにシンボリックリンク攻撃の脆弱性、特権昇格のリスクに対応
- 【CVE-2024-13606】JS Help Deskプラグインに深刻な脆弱性、WordPressサイトの情報漏洩リスクが発生
- 【CVE-2024-13639】WordPressプラグインRead More & Accordionに認証バイパスの脆弱性、データ改変や損失のリスクが発生
- 【CVE-2025-21418】Windows Ancillary Function Driver for WinSockに権限昇格の脆弱性、複数のバージョンに影響
- 【CVE-2025-0169】DWT Directory ListingテーマにXSS脆弱性、投稿者権限で攻撃コードの実行が可能に
- 【CVE-2025-25168】WordPress用プラグインBookPressにXSS脆弱性が発見、深刻度Highで早急な対応が必要に
- 【CVE-2025-0934】Job Recruitment 1.0にSQLインジェクションの脆弱性が発見、リモート攻撃のリスクが浮上
- 【CVE-2025-25898】TP-Link TL-WR841ND V11にバッファオーバーフロー脆弱性、DoS攻撃のリスクが浮上
