セキュリティ

SECURITY

公開：2025-05-11

【CVE-2025-3971】PHPGurukul COVID19 Testing Management System 1.0にSQL injection脆弱性、リモート攻撃の危険性が浮上

text: XEXEQ編集部
（記事は執筆時の情報に基づいており、現在では異なる場合があります）

記事の要約

• PHPGurukul COVID19 Testing Management Systemに重大な脆弱性
• SQL injectionの脆弱性が/add-phlebotomist.phpで発見
• リモートから攻撃可能な状態で公開済み

PHPGurukul COVID19 Testing Management System 1.0の深刻な脆弱性

PHPGurukulは2025年4月27日、同社が提供するCOVID19 Testing Management System 1.0において、/add-phlebotomist.phpファイルに重大な脆弱性が発見されたことを発表した。この脆弱性は引数empidの操作によってSQL injectionが可能となるもので、リモートから攻撃を実行できる状態となっている。^[1]

この脆弱性はCVE-2025-3971として識別されており、CWEによる脆弱性タイプはSQL Injection（CWE-89）とInjection（CWE-74）に分類されている。CVSS 4.0の評価では深刻度は6.9（MEDIUM）となっており、攻撃元区分はネットワークで、攻撃条件の複雑さは低いとされている。

さらに重要な点として、この脆弱性に関する攻撃コードはすでに公開されており、悪用される可能性が高い状態となっている。影響を受けるのはCOVID19 Testing Management System 1.0のユーザーで、早急な対応が必要とされている。

CVE-2025-3971の詳細情報まとめ

SQL Injectionについて

SQL Injectionとは、Webアプリケーションのデータベースに対して不正なSQLコマンドを挿入・実行する攻撃手法のことを指す。主な特徴として、以下のような点が挙げられる。

• データベースの改ざんや情報漏洩を引き起こす可能性がある
• 入力値の検証が不十分な場合に発生しやすい
• システム全体に重大な影響を及ぼす可能性がある

PHPGurukul COVID19 Testing Management Systemで発見された脆弱性は、/add-phlebotomist.phpファイル内のempid引数の処理に問題があり、SQL Injectionが可能な状態となっている。この種の脆弱性は適切な入力値のバリデーションやプリペアドステートメントの使用によって防ぐことが可能だ。

COVID19 Testing Management Systemの脆弱性に関する考察

医療関連システムにおける脆弱性の発見は、患者データの漏洩やシステムの改ざんにつながる可能性があり、極めて深刻な問題となっている。COVID19の検査管理という重要な役割を担うシステムであるだけに、早急なセキュリティ対策の実施が求められるところだ。

この脆弱性への対応として、開発者側には入力値の厳密な検証やプリペアドステートメントの導入が求められる。同時にユーザー側にも、システムのアップデート適用や一時的な代替手段の検討など、適切なリスク管理が必要となるだろう。

長期的な観点からは、医療システムのセキュリティ設計における厳格な基準の策定や、定期的なセキュリティ監査の実施が重要となる。特にCOVID19関連システムは社会的影響が大きいため、開発段階からのセキュリティ対策の徹底が望まれる。

参考サイト

1. ^ CVE. 「CVE Record: CVE-2025-3971」. https://www.cve.org/CVERecord?id=CVE-2025-3971, (参照 25-05-11).
2358

※上記コンテンツはAIで確認しておりますが、間違い等ある場合はコメントよりご連絡いただけますと幸いです。

「セキュリティ」に関するコラム一覧「セキュリティ」に関するニュース一覧