セキュリティ

SECURITY

公開：2025-03-05

【CVE-2025-1598】Best Church Management Software 1.0に無制限アップロードの脆弱性、深刻な情報漏洩のリスクが浮上

text: XEXEQ編集部
（記事は執筆時の情報に基づいており、現在では異なる場合があります）

記事の要約

• Best Church Management Software 1.0に重大な脆弱性が発見
• asset_crud.phpファイルでの無制限アップロードが可能に
• ベンダーへの報告に対して応答なし

SourceCodester Best Church Management Software 1.0の脆弱性

2025年2月23日、Best Church Management Software 1.0において、重大な脆弱性が発見されたことが公表された。この脆弱性は/admin/app/asset_crud.phpファイルの未知の機能に関連しており、photo1引数の操作により無制限のアップロードが可能となる深刻な問題が確認されている。^[1]

脆弱性はリモートから攻撃を実行することが可能であり、既に一般に公開されているため悪用される可能性が高い状態となっている。この脆弱性に関してベンダーには早期に連絡が行われたものの、現時点までいかなる対応も行われていない状況が続いている。

この脆弱性は【CVE-2025-1598】として登録されており、CVSS 3.1のスコアでは6.3（MEDIUM）と評価されている。CWEによる分類では、CWE-434（無制限アップロード）とCWE-284（不適切なアクセス制御）の2つのカテゴリに分類され、攻撃の影響範囲が広がる可能性が指摘されている。

Best Church Management Software 1.0の脆弱性詳細

無制限アップロードについて

無制限アップロードとは、Webアプリケーションにおいてファイルアップロード機能に適切な制限が設けられていない脆弱性のことを指す。主な特徴として以下のような点が挙げられる。

• ファイルの種類や大きさに制限がない
• 悪意のあるファイルのアップロードが可能
• サーバー側での適切な検証が行われていない

Best Church Management Software 1.0の場合、asset_crud.phpファイルにおけるphoto1引数の処理に問題があり、攻撃者による無制限のファイルアップロードが可能となっている。この脆弱性は既に公開されており、リモートから攻撃可能な状態であるため、早急な対策が必要とされている。

Best Church Management Software 1.0の脆弱性に関する考察

教会管理システムにおける無制限アップロードの脆弱性は、悪意のある攻撃者によって機密情報の漏洩や改ざんが行われる可能性があり、深刻な影響が懸念される。特に宗教団体のデータを扱うシステムであることから、個人情報や寄付金などのセンシティブな情報が含まれている可能性が高く、早急な対応が必要だ。

ベンダーの対応が遅れている現状では、システム管理者による独自の対策が重要となっている。WAFの導入やファイルアップロード機能の一時的な無効化、アクセス制御の強化など、複数の防御層を設けることで被害を最小限に抑える必要があるだろう。

今後は教会管理システム全般におけるセキュリティ意識の向上と、定期的な脆弱性診断の実施が求められる。オープンソースソフトウェアの利用においては、コミュニティの活発さやベンダーのセキュリティ対応能力も選定基準として重要視すべきだ。

参考サイト

1. ^ CVE. 「CVE: Common Vulnerabilities and Exposures」. https://www.cve.org/CVERecord?id=CVE-2025-1598, (参照 25-03-05).

※上記コンテンツはAIで確認しておりますが、間違い等ある場合はコメントよりご連絡いただけますと幸いです。

「セキュリティ」に関するコラム一覧「セキュリティ」に関するニュース一覧