セキュリティ

SECURITY

公開：2025-02-22

【CVE-2025-1189】1000 Projects Attendance Tracking Management System 1.0にSQLインジェクションの脆弱性、遠隔攻撃のリスクが判明

text: XEXEQ編集部
（記事は執筆時の情報に基づいており、現在では異なる場合があります）

記事の要約

• 1000 Projects社のAttendance Tracking Management Systemにて深刻な脆弱性を発見
• chart1.php内のSQLインジェクション脆弱性により遠隔攻撃が可能
• CVE-2025-1189として登録されCVSS評価は最大6.3を記録

1000 Projects Attendance Tracking Management System 1.0に深刻な脆弱性

1000 Projects社は2025年2月12日、同社が提供するAttendance Tracking Management System 1.0において深刻な脆弱性が発見されたことを公開した。この脆弱性は【CVE-2025-1189】として登録され、管理者向けページのchart1.phpファイル内でcourse_idパラメータを操作することでSQLインジェクション攻撃が可能となることが判明している。^[1]

この脆弱性はCWE-89（SQLインジェクション）およびCWE-74（インジェクション）に分類され、CVSS 4.0では5.3、CVSS 3.1および3.0では6.3のスコアが付与されている。攻撃者は低い権限レベルで遠隔からの攻撃が可能であり、機密性・完全性・可用性のそれぞれに軽度の影響が及ぶ可能性が指摘されている。

VulDB社の研究者takakieによって発見されたこの脆弱性は、既に一般に公開されており攻撃に利用される可能性が存在する。影響を受けるバージョンは1.0であり、管理者は早急なセキュリティ対策の実施が推奨されている。

Attendance Tracking Management System 1.0の脆弱性詳細

SQLインジェクションについて

SQLインジェクションとは、Webアプリケーションのデータベース操作において、悪意のあるSQLクエリを注入する攻撃手法のことを指す。主な特徴として、以下のような点が挙げられる。

• 入力値の検証が不十分な場合に発生する脆弱性
• データベースの内容の不正な読み取りや改ざんが可能
• 認証機能の回避やバックエンドシステムへの侵入に利用される

今回のAttendance Tracking Management System 1.0における脆弱性は、chart1.phpファイル内のcourse_idパラメータにおけるSQLインジェクションの脆弱性が確認されている。この脆弱性は既に公開されており、攻撃コードが利用可能な状態であることから、早急な対策が必要とされている。

1000 Projects Attendance Tracking Management System 1.0の脆弱性に関する考察

出席管理システムの脆弱性は教育機関の機密情報漏洩につながる可能性があり、特に学生の個人情報や成績データが危険にさらされる可能性がある。SQLインジェクションの脆弱性は比較的古くから知られている攻撃手法であり、適切な入力値のバリデーションやプリペアドステートメントの使用によって防ぐことが可能だろう。

1000 Projects社には早急なセキュリティパッチの提供が求められるが、同時にユーザー側でも一時的な対策として、WebアプリケーションファイアウォールやIPSの導入を検討する必要がある。また、データベースアクセス権限の最小化や定期的なセキュリティ監査の実施も重要な対策となるだろう。

今後は同様の脆弱性を防ぐため、開発段階でのセキュリティレビューやペネトレーションテストの実施が必要不可欠だ。特にクラウドベースの教育システムが普及する中、セキュリティ対策の重要性は一層高まることが予想される。

参考サイト

1. ^ CVE. 「CVE: Common Vulnerabilities and Exposures」. https://www.cve.org/CVERecord?id=CVE-2025-1189, (参照 25-02-22).

※上記コンテンツはAIで確認しておりますが、間違い等ある場合はコメントよりご連絡いただけますと幸いです。

「セキュリティ」に関するコラム一覧「セキュリティ」に関するニュース一覧