1. セキュリティ対策ラボ
  2. セキュリティニュース
  3. PHPで重大な脆弱性、SQLインジェクションへの悪用が可能に(CVE-2022-31631)

PHPで重大な脆弱性、SQLインジェクションへの悪用が可能に(CVE-2022-31631)

セキュリティニュース

投稿日時: 更新日時:

PHPで重大な脆弱性、SQLインジェクションへの悪用が可能に(CVE-2022-31631)

PHPSQLインジェクションへの悪用が可能になる重大な脆弱性(CVE-2022-31631)が確認されました。対象者はアップデートする事をお勧めします。

脆弱性の対象バージョン

  • PHP 8.0.x(8.0.27未満)
  • PHP 8.1.x(8.1.15未満)
  • PHP 8.2.x(8.2.2未満)

脆弱性の修正バージョン

  • 8.0.27
  • 8.1.15
  • 8.2.2以降

脆弱性 CVE-2022-31631 の概要

PHPの脆弱性の対象バージョンにおいて、PDO::quote() 関数を使用してSQLiteのクエリ内でユーザー入力データをエスケープする際に、過度に長い文字列を与えることで誤ったクォート処理が行われ、SQLインジェクションの脆弱性が発生する可能性があります。

CVSSv3.1では9.1と重大な脆弱性となっています。

過去悪用されたPHPの脆弱性

2024年、ランサムウェア攻撃グループ「TellYouThePass」がPHPの脆弱性(CVE-2024-4577)を悪用しランサムウェア攻撃を行っている事が指摘されました。

PHPは世界中で幅広く利用されているプログラミング言語の為、対象者はバージョンアップをお勧めします。

関連記事

Default ThumbnailPHPの脆弱性でWindows サーバーでリモート コードを実行される可能性(CVE-2024-4577) ランサムウェア攻撃グループ「TellYouThePass」がPHPの脆弱性を利用してサイバー攻撃(CVE-2024-4577)ランサムウェア グループ「TellYouThePass」がPHPの脆弱性を利用してサイバー攻撃(CVE-2024-4577) PHPで複数の脆弱性が修正対象者はアップデートを(CVE-2024-4577,CVE-2024-9026,CVE-2024-8927,CVE-2024-8926,CVE-2024-8925)PHPで複数の脆弱性が修正 対象者はアップデートを(CVE-2024-4577,CVE-2024-9026,CVE-2024-8927,CVE-2024-8926,CVE-2024-8925) PHPの脆弱性(CVE-2024-4577)を悪用してハッカーがバックドアを仕掛けるPHPの脆弱性(CVE-2024-4577)を悪用してハッカーがバックドアを仕掛ける ImageMagick、Linuxカーネル、SonicWallの既知脆弱性が攻撃の標的にImageMagick、Linuxカーネル、SonicWallの既知脆弱性が攻撃の標的に トロイの木馬化された「jQuery」がnpmやGitHubで拡散トロイの木馬化された「jQuery」がnpmやGitHubで拡散 Default Thumbnail東芝の複合機「e-STUDIO」の複数のシリーズで脆弱性 Ruby SAMLで危険な脆弱性(CVE-2024-45409)Ruby SAMLで危険な脆弱性(CVE-2024-45409) VMWare Fusionで危険度の高い脆弱性が修正(CVE-2024-38811)VMWare Fusionで危険度の高い脆弱性が修正(CVE-2024-38811)