セキュリティ

SECURITY

公開：2025-03-14

【CVE-2025-1873】101newsにSQLインジェクション脆弱性が発見、管理画面のパラメータに深刻な影響

text: XEXEQ編集部
（記事は執筆時の情報に基づいており、現在では異なる場合があります）

記事の要約

• 101newsのバージョン1.0にSQLインジェクション脆弱性が発見
• admin/contactus.phpの2つのパラメータに影響
• CVSSスコア9.3のクリティカルな脆弱性

101newsバージョン1.0のSQLインジェクション脆弱性

Spanish National Cybersecurity Instituteは2025年3月3日、101newsのバージョン1.0において深刻なSQLインジェクション脆弱性を発見したことを公開した。この脆弱性は管理画面のcontactus.phpファイル内のpagetitleとpagedescriptionパラメータに存在することが明らかになっている。^[1]

脆弱性はCVE-2025-1873として識別されており、CWEによる脆弱性タイプはSQLインジェクション（CWE-89）に分類されている。CVSS v4.0による評価では、攻撃元区分はネットワークであり、攻撃条件の複雑さは低く、特権レベルや利用者の関与は不要とされている。

CVSSスコアは9.3と評価され、クリティカルな脆弱性として分類されている。機密性、完全性、可用性のすべてにおいて高い影響度を示しており、システムコンポーネントやシステムインテグリティへの影響は確認されていない。

101news脆弱性の詳細情報まとめ

SQLインジェクションについて

SQLインジェクションとは、Webアプリケーションのデータベース操作において、悪意のあるSQLコードを注入される脆弱性のことを指す。主な特徴として、以下のような点が挙げられる。

• データベースの不正アクセスや改ざんが可能
• 機密情報の漏洩やデータの破壊につながる可能性
• Webアプリケーションで最も深刻な脆弱性の一つ

SQLインジェクションへの対策としては、プリペアドステートメントの使用やユーザー入力値の適切なサニタイズが重要である。101newsの脆弱性は管理画面のパラメータに存在するため、早急な対応が必要とされている。

101newsの脆弱性に関する考察

今回発見された脆弱性は管理画面に存在することから、攻撃者が管理者権限を奪取する可能性があり、システム全体のセキュリティに重大な影響を及ぼす可能性がある。特にpagetitleとpagedescriptionという基本的なパラメータに脆弱性が存在することは、同様の実装が他の機能にも存在する可能性を示唆している。

対策としては、すべてのユーザー入力に対するバリデーションの実装と、データベースアクセス時のプリペアドステートメントの使用が必須となるだろう。また、管理画面へのアクセス制御を強化し、IPアドレスによる制限や多要素認証の導入も検討する必要がある。

今後は脆弱性スキャンの定期的な実施や、セキュアコーディングガイドラインの整備が重要となる。特にオープンソースプロジェクトとして、コードレビューのプロセスを確立し、セキュリティの専門家による監査を実施することで、同様の脆弱性の発生を防ぐことが期待される。

参考サイト

1. ^ CVE. 「CVE: Common Vulnerabilities and Exposures」. https://www.cve.org/CVERecord?id=CVE-2025-1873, (参照 25-03-14).

※上記コンテンツはAIで確認しておりますが、間違い等ある場合はコメントよりご連絡いただけますと幸いです。

「セキュリティ」に関するコラム一覧「セキュリティ」に関するニュース一覧