セキュリティ

SECURITY

公開：2025-03-15

【CVE-2025-1871】101newsバージョン1.0にSQLインジェクションの脆弱性、緊急の対応が必要に

text: XEXEQ編集部
（記事は執筆時の情報に基づいており、現在では異なる場合があります）

記事の要約

• 101newsのバージョン1.0にSQLインジェクションの脆弱性
• admin/add-subcategory.phpのパラメータが影響を受ける
• CVSSスコア9.3でCriticalレベルの深刻度

101newsのバージョン1.0にSQLインジェクションの脆弱性が発見

Spanish National Cybersecurity Instituteは2025年3月3日、Mayuri K社が開発する101newsのバージョン1.0において、SQLインジェクションの脆弱性が発見されたと発表した。この脆弱性はadmin/add-subcategory.phpの「category」および「subcategory」パラメータに存在することが判明している。^[1]

本脆弱性はCVE-2025-1871として識別されており、CWEによる脆弱性タイプはSQLインジェクション（CWE-89）に分類されている。CVSSスコアは9.3（Critical）と評価されており、攻撃に特権レベルやユーザーの操作が不要であることから、深刻度の高い脆弱性として認識されている。

Spanish National Cybersecurity Instituteの調査により、この脆弱性は攻撃の自動化が可能であり、技術的な影響が甚大であることが判明した。SSVCの評価によると、現時点で既知の攻撃は確認されていないものの、システム全体に深刻な影響を及ぼす可能性が指摘されている。

101newsバージョン1.0の脆弱性概要

SQLインジェクションについて

SQLインジェクションとは、Webアプリケーションの脆弱性の一種で、悪意のあるSQLクエリをデータベースに挿入・実行することで、データベースを不正に操作する攻撃手法のことを指す。主な特徴として、以下のような点が挙げられる。

• データベースの改ざんや情報漏洩を引き起こす可能性がある
• 入力値の検証が不十分な場合に発生しやすい
• 適切なパラメータのサニタイズによって防止可能

本脆弱性は101newsのバージョン1.0のadmin/add-subcategory.phpにおいて、categoryとsubcategoryパラメータの処理が適切に行われていないことに起因している。この脆弱性を悪用されると、データベースの内容が不正に改ざんされたり、機密情報が漏洩したりする可能性があるため、早急な対応が求められる。

101newsの脆弱性に関する考察

101newsの脆弱性はCVSSスコアが9.3と非常に高く、攻撃の自動化が可能であることから、早急な対策が必要不可欠である。特に認証を必要としない攻撃が可能であることから、パッチが適用されるまでの間、Webアプリケーションファイアウォールなどによる一時的な保護対策を検討する必要があるだろう。

この脆弱性の発見を契機に、Webアプリケーションの開発における入力値の検証やパラメータのサニタイズ処理の重要性が改めて認識された。今後は開発段階からセキュリティを考慮したコーディングプラクティスを採用し、定期的なセキュリティ診断を実施することで、同様の脆弱性の発生を防ぐことが望まれる。

SQLインジェクション対策として、プリペアドステートメントの使用やORMの採用など、より安全なデータベースアクセス手法への移行を検討すべきだ。また、開発者向けのセキュリティトレーニングを強化し、セキュアコーディングの知識と実践的なスキルの向上を図ることも重要である。

参考サイト

1. ^ CVE. 「CVE: Common Vulnerabilities and Exposures」. https://www.cve.org/CVERecord?id=CVE-2025-1871, (参照 25-03-15).

※上記コンテンツはAIで確認しておりますが、間違い等ある場合はコメントよりご連絡いただけますと幸いです。

「セキュリティ」に関するコラム一覧「セキュリティ」に関するニュース一覧