概要
Jinher OA C6の特定のWebアプリケーションにおいて、SQLインジェクションの脆弱性(CVE-2026-2963)が報告されています。この脆弱性は、ファイル「/C6/Jhsoft.Web.officesupply/OfficeSupplyTypeRight.aspx」のidまたはoffsnum引数の処理に不備があることに起因します。攻撃者はこの脆弱性を悪用することで、リモートからデータベースに対して不正な操作を行う可能性があります。
影響範囲
- 対象製品: Jinher OA C6
- 対象バージョン: 2026年2月10日までのバージョン
- 影響箇所:
/C6/Jhsoft.Web.officesupply/OfficeSupplyTypeRight.aspxファイルにおけるidまたはoffsnum引数の処理
想定される影響
この脆弱性が悪用された場合、以下のような影響が想定されます。
- データベース内の機密情報(ユーザー情報、業務データなど)が不正に取得される可能性があります。
- データベース内のデータが改ざんまたは削除される可能性があります。
- 最悪の場合、基盤となるシステムへの不正アクセスや、さらなる攻撃の足がかりとして利用される可能性も考えられます。
攻撃成立条件・悪用状況
本脆弱性は、リモートからの攻撃が可能です。また、脆弱性を悪用するためのコードがすでに公開されていると報告されており、攻撃が容易に行われる可能性があります。ベンダーには早期に情報が提供されたものの、現時点ではベンダーからの公式な対応は確認されていません。
推奨対策
今すぐできる対策
- ベンダーからのパッチ適用: ベンダー(Jinher)から提供される可能性のあるセキュリティパッチやアップデート情報を確認し、速やかに適用することを強く推奨します。ただし、現時点ではベンダーからの公式な対応が確認されていないため、最新情報を継続的に監視してください。
中長期的な対策
- Webアプリケーションファイアウォール(WAF)の導入・設定強化: SQLインジェクション攻撃を検知・ブロックできるよう、WAFの導入または既存WAFのルールセットを見直し、強化することを検討してください。
- 入力値検証の徹底: Webアプリケーション開発において、ユーザーからの入力値に対する厳格な検証処理を実装し、不正なSQLクエリが生成されないようにすることが重要です。
- データベースへの最小権限原則の適用: アプリケーションがデータベースにアクセスする際の権限を必要最小限に制限し、万が一の侵害時における被害範囲を最小化してください。
- セキュリティ監視の強化: Webサーバーやデータベースのアクセスログを定期的に監視し、不審な挙動がないか確認する体制を強化してください。
一時的な緩和策
ベンダーからの公式パッチが提供されていない、またはすぐに適用できない場合、以下の緩和策を検討してください。
- WAFによるフィルタリング: WAFで、影響を受けるURLパス(
/C6/Jhsoft.Web.officesupply/OfficeSupplyTypeRight.aspx)へのアクセス、特にidやoffsnumパラメータに対するSQLインジェクションパターンをブロックするルールを設定してください。 - アクセス制限: 可能であれば、影響を受けるWebアプリケーションへのアクセスを信頼できるIPアドレス範囲に限定するなどのネットワークレベルでのアクセス制限を検討してください。
確認方法
現時点では、本脆弱性の具体的な影響有無を確認するための公式ツールや手順は提供されていません。しかし、以下の方法で間接的に確認を試みることができます。
- Webサーバーのアクセスログ確認: 影響を受けるURLパスへの不審なアクセスや、SQLインジェクションパターンに合致するようなリクエストがないか、ログを詳細に確認してください。
- 脆弱性スキャナーの利用: Webアプリケーション脆弱性スキャナーを使用して、自身の環境が本脆弱性の影響を受ける可能性があるか診断を試みることも有効です。