セキュリティ

SECURITY

公開：2025-02-28

【CVE-2025-1132】ChurchCRM 5.13.0にSQLインジェクションの脆弱性、管理者権限で深刻な情報漏洩のリスク

text: XEXEQ編集部
（記事は執筆時の情報に基づいており、現在では異なる場合があります）

記事の要約

• ChurchCRM 5.13.0以前にSQLインジェクションの脆弱性
• 管理者権限で悪意あるSQLコマンドの実行が可能
• データベースの情報漏洩のリスクが存在

ChurchCRM 5.13.0のSQLインジェクション脆弱性

Gridware Cybersecurityは2025年2月19日、ChurchCRM 5.13.0およびそれ以前のバージョンにおいて、EditEventAttendees.phpのEN_tyidパラメータにSQLインジェクションの脆弱性が存在することを公開した。この脆弱性は管理者権限を持つユーザーが悪意のあるSQLコマンドを実行できる可能性があり、時間ベースのブラインドSQLインジェクションとして識別されている。^[1]

この脆弱性は【CVE-2025-1132】として登録され、CVSSスコアは9.3（Critical）と評価されている。攻撃者は管理者権限を必要とするものの、ユーザーインターフェースの操作を必要とせず、機密性・整合性・可用性すべてに高い影響を及ぼす可能性があることが指摘されている。

発見者のMichael McInerneyによって報告されたこの脆弱性は、EN_tyidパラメータが適切なサニタイズ処理なしでSQLクエリに直接挿入される実装に起因している。この問題により、攻撃者はレスポンスの遅延を引き起こし、データベースの構造を把握して機密情報を抽出できる可能性があることが明らかになった。

ChurchCRM 5.13.0の脆弱性まとめ

SQLインジェクションについて

SQLインジェクションとは、Webアプリケーションに対する攻撃手法の一つで、アプリケーションが想定していない悪意のあるSQLコマンドを注入し、データベースを不正に操作する攻撃のことを指す。主な特徴として、以下のような点が挙げられる。

• 入力値の不適切なサニタイズによって発生する脆弱性
• データベースの情報漏洩や改ざんのリスクが存在
• Webアプリケーションセキュリティで最も重要な脆弱性の一つ

ChurchCRMで発見された脆弱性は時間ベースのブラインドSQLインジェクションに分類され、クエリの実行時間を観察することでデータベースの情報を推測することが可能である。管理者権限が必要となるものの、適切な対策が施されていない場合、重要な情報が漏洩するリスクが存在している。

ChurchCRMの脆弱性に関する考察

ChurchCRMの脆弱性は管理者権限を必要とするものの、SQLインジェクション攻撃の特性上、一度権限を取得されると深刻な被害につながる可能性が高い。特にデータベースの構造を把握できる時間ベースの攻撃手法は、攻撃者に重要な情報を与えてしまう危険性があるため、早急なバージョンアップによる対策が必要となるだろう。

今後、同様の脆弱性を防ぐためには、入力値のバリデーションやプリペアドステートメントの使用など、基本的なセキュリティ対策の徹底が重要となる。また、管理者権限を持つユーザーに対しても適切なアクセス制御を実装し、不要な権限の付与を制限することで、攻撃のリスクを軽減することができるだろう。

ChurchCRMのような教会管理システムには、信者の個人情報や寄付情報など、機密性の高いデータが含まれている可能性が高い。今回の脆弱性を教訓に、定期的なセキュリティ監査やペネトレーションテストの実施など、より包括的なセキュリティ対策の導入を検討する必要があるだろう。

参考サイト

1. ^ CVE. 「CVE: Common Vulnerabilities and Exposures」. https://www.cve.org/CVERecord?id=CVE-2025-1132, (参照 25-02-28).

※上記コンテンツはAIで確認しておりますが、間違い等ある場合はコメントよりご連絡いただけますと幸いです。

「セキュリティ」に関するコラム一覧「セキュリティ」に関するニュース一覧