セキュリティ

SECURITY

公開：2025-02-28

【CVE-2025-1134】ChurchCRM 5.13.0にSQLインジェクションの脆弱性、重要データの漏洩リスクに警戒

text: XEXEQ編集部
（記事は執筆時の情報に基づいており、現在では異なる場合があります）

記事の要約

• ChurchCRM 5.13.0以前にSQLインジェクションの脆弱性
• DonatedItemEditor.phpのCurrentFundraiserパラメータに問題
• 管理者権限で任意のSQLクエリが実行可能

ChurchCRM 5.13.0のSQLインジェクション脆弱性に重大な影響

Gridware Cybersecurityは2025年2月19日、ChurchCRMのバージョン5.13.0以前に深刻なSQLインジェクションの脆弱性が存在することを公開した。この脆弱性は【CVE-2025-1134】として識別されており、DonatedItemEditor機能のCurrentFundraiserパラメータにおいて、SQLクエリへの入力値が適切にサニタイズされていない問題が確認されている。^[1]

CVSSスコアは9.3（Critical）と評価されており、攻撃者が管理者権限を悪用することで任意のSQLクエリを実行できる可能性がある。この脆弱性を利用した攻撃により、データベースの情報漏洩や改ざん、削除などの深刻な被害が発生する可能性が高いと判断された。

脆弱性の種類はCWE-89（SQLインジェクション）に分類されており、BooleanベースおよびタイムベースのブラインドSQLインジェクションが可能とされている。攻撃の自動化も可能であり、技術的な影響度も高く評価されているため、早急な対策が必要となっている。

ChurchCRM 5.13.0の脆弱性詳細

SQLインジェクションについて

SQLインジェクションとは、Webアプリケーションのセキュリティ上の脆弱性を悪用し、データベースに不正なSQLクエリを実行する攻撃手法のことを指す。主な特徴として、以下のような点が挙げられる。

• 入力値の検証やサニタイズが不十分な場合に発生する脆弱性
• データベースの情報漏洩や改ざんなどの被害をもたらす可能性
• 適切な入力値のバリデーションとパラメータ化クエリで防止可能

ChurchCRMの事例では、DonatedItemEditor機能のCurrentFundraiserパラメータにおいて入力値のサニタイズが不十分であることが問題となっている。SQLインジェクション攻撃は、データベースの完全性を損なう可能性があり、組織の重要な情報資産に深刻な影響を及ぼす可能性が高い。

ChurchCRMの脆弱性に関する考察

ChurchCRMの脆弱性は管理者権限が必要という点で攻撃のハードルは高いものの、いったん悪用されると組織のデータベース全体に影響が及ぶ可能性がある。特に教会の運営に関わる重要な情報を扱うシステムであることから、寄付者の個人情報や財務データなどの機密情報が漏洩するリスクが深刻な問題となっている。

今後は入力値のバリデーションやパラメータ化クエリの実装など、基本的なセキュリティ対策の強化が不可欠となるだろう。また、定期的なセキュリティ監査やペネトレーションテストの実施により、同様の脆弱性を早期に発見・修正する体制づくりも重要となってくる。

ChurchCRMのようなオープンソースプロジェクトでは、コミュニティ全体でセキュリティ意識を高め、コードレビューや脆弱性報告の仕組みを整備することが求められる。継続的なセキュリティ対策の改善と、ユーザーへの適切な情報提供が、システムの信頼性向上につながるだろう。

参考サイト

1. ^ CVE. 「CVE: Common Vulnerabilities and Exposures」. https://www.cve.org/CVERecord?id=CVE-2025-1134, (参照 25-02-28).

※上記コンテンツはAIで確認しておりますが、間違い等ある場合はコメントよりご連絡いただけますと幸いです。

「セキュリティ」に関するコラム一覧「セキュリティ」に関するニュース一覧