Youtube ScriptにSQLインジェクションの脆弱性

悪用されるとSQLクエリを実行され、重要な情報が流出する恐れがあるという。

» 2007年07月03日 09時53分 公開
[ITmedia]

 Youtube ScriptにSQLインジェクションの脆弱性が報告された。悪用されると攻撃者が任意のSQLクエリを実行することが可能になり、重要な情報が流出する恐れがあるという。

 仏FrSIRTやSecuniaのアドバイザリーによると、脆弱性は「msg.php」スクリプトの入力認証エラーに起因する。「id」の値への入力情報が、SQLクエリで使われる前に適切にチェックされず、攻撃者がこれを悪用すと任意のSQLコードを挿入してSQLクエリを操作することが可能になる。

 危険度は、Secuniaが5段階で3番目の「Moderately critical」、FrSIRTが4段階で下から2番目の「Moderate Risk」としている。

 脆弱性はYoutube Scriptに存在し、公式パッチの存在は確認されていない。Secuniaでは解決策として、ソースコードを編集し、入力情報が適切にチェックされるようにすることを挙げている。

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ