セキュリティ

SECURITY

公開：2025-03-05

【CVE-2025-1133】ChurchCRM 5.13.0以前のバージョンにSQLインジェクションの脆弱性、管理者権限で重要データの改ざんが可能に

text: XEXEQ編集部
（記事は執筆時の情報に基づいており、現在では異なる場合があります）

記事の要約

• ChurchCRM 5.13.0以前に深刻なSQL脆弱性を発見
• EditEventAttendeesのEIDパラメータにSQLインジェクションの脆弱性
• データの改ざんや流出のリスクが発生する可能性

ChurchCRM 5.13.0のSQLインジェクション脆弱性

Gridware Cybersecurityは2025年2月19日、教会向け管理システムChurchCRM 5.13.0以前のバージョンにおいて、重大なSQLインジェクションの脆弱性【CVE-2025-1133】を発見したことを公開した。EditEventAttendeesの機能において、EIDパラメータが適切なサニタイズ処理なしでSQLクエリに直接結合される実装になっており、管理者権限を持つ攻撃者によってデータの改ざんや窃取が可能になる深刻な問題が存在することが判明した。^[1]

この脆弱性はCVSS v4.0で9.3のクリティカルスコアが付与されており、攻撃の難易度が低く、機密性・完全性・可用性のすべてに高い影響を及ぼす可能性があることが指摘されている。なお、この脆弱性の悪用には管理者権限が必要となるものの、権限を持つ攻撃者による悪用の可能性は極めて高いと評価されている。

CISA-ADPの評価によると、この脆弱性の攻撃は自動化可能であり、技術的な影響は「total」と評価されている。また、すでにPoCコードが公開されており、ChurchCRMユーザーに対して早急な対応が求められる状況となっている。

ChurchCRM 5.13.0の脆弱性まとめ

SQLインジェクションについて

SQLインジェクションとは、Webアプリケーションにおいて、ユーザーの入力値が適切にサニタイズされずにSQLクエリに組み込まれることで発生する脆弱性のことを指す。主な特徴として、以下のような点が挙げられる。

• データベースに対する不正なクエリの実行が可能
• 情報の窃取や改ざん、削除などの攻撃が実行可能
• 適切な入力値のバリデーションとエスケープ処理で防止可能

ChurchCRMの事例では、EditEventAttendeesのEIDパラメータにおけるブールベースのブラインドSQLインジェクションが確認されている。この種の脆弱性は、データベースの真偽値の応答を利用して情報を抽出する手法であり、発見や対策が困難な場合が多いとされている。

ChurchCRMの脆弱性に関する考察

ChurchCRMの脆弱性は管理者権限が必要とはいえ、教会の重要な個人情報や財務データが扱われる可能性を考慮すると、その影響は看過できないものとなっている。特にPoCコードが公開されている状況では、技術的なハードルが低く、悪意のある管理者による攻撃が容易に実行可能な状態にあることが懸念される。

今後は単なるパッチ適用だけでなく、入力値の検証やプリペアドステートメントの採用など、SQLインジェクション対策の基本的な防御機構を組み込んだセキュアな実装が求められる。また、管理者権限を持つユーザーの操作ログを詳細に記録し、不正なアクセスや操作を検知できる仕組みの導入も検討すべきだろう。

長期的には、ChurchCRMのセキュリティ設計全体を見直し、最新のセキュリティベストプラクティスに基づいた開発プロセスの確立が不可欠となる。特に教会という特殊な環境で使用されるシステムだけに、セキュリティと使いやすさのバランスを考慮した慎重な対応が期待される。

参考サイト

1. ^ CVE. 「CVE: Common Vulnerabilities and Exposures」. https://www.cve.org/CVERecord?id=CVE-2025-1133, (参照 25-03-05).

※上記コンテンツはAIで確認しておりますが、間違い等ある場合はコメントよりご連絡いただけますと幸いです。

「セキュリティ」に関するコラム一覧「セキュリティ」に関するニュース一覧