概要
JeecgBootのバージョン3.9.1までに、SQLインジェクションの脆弱性(CVE-2026-3672)が発見されたと報告されています。この脆弱性は、/jeecg-boot/sys/api/getDictItemsファイル内のisExistSqlInjectKeyword関数に存在し、悪用されるとSQLインジェクション攻撃を許してしまう可能性があります。本脆弱性はリモートからの攻撃が可能であり、既にエクスプロイトコードが公開されていると報告されているため、注意が必要です。深刻度は「中(MEDIUM)」と評価されています。
影響範囲
本脆弱性の影響を受けるのは、JeecgBootのバージョン3.9.1までの製品と報告されています。
想定される影響
本脆弱性が悪用された場合、攻撃者はSQLインジェクションを通じて、以下のような行為を行う可能性があります。
- データベース内の機密情報の不正な取得(情報漏洩)
- データベース内のデータの改ざんまたは削除
- 最悪の場合、データベースを介したシステムへの不正アクセスや制御奪取につながる可能性も指摘されています。
攻撃成立条件・悪用状況
本脆弱性は、リモートからの攻撃によって悪用される可能性があります。また、脆弱性を悪用するためのエクスプロイトコードが既に一般に公開されていると報告されており、攻撃のリスクが高まっていると考えられます。
推奨対策
今すぐできる対策(優先度:高)
- ベンダーからの修正パッチの適用: JeecgBootのベンダーから提供される修正パッチやアップデートがリリースされている場合は、速やかに適用してください。これが最も効果的な対策となります。
中長期的な対策
- セキュリティ情報の継続的な監視: JeecgBootおよび関連コンポーネントのセキュリティ情報を継続的に監視し、新たな脆弱性や修正パッチが公開された際には迅速に対応できる体制を整えてください。
- WAF(Web Application Firewall)の導入・設定強化: WAFを導入している場合は、SQLインジェクション攻撃パターンを検知・ブロックできるよう、設定を見直すことを検討してください。
- 入力値検証の徹底: アプリケーション開発において、ユーザーからの入力値を厳格に検証し、不正なSQLクエリが生成されないような対策を徹底してください。
一時的な緩和策
ベンダーからの修正パッチが適用できない場合、一時的な緩和策として、WAFによるSQLインジェクション攻撃パターンの検出とブロックが有効な場合があります。しかし、これは根本的な解決策ではなく、最終的には修正パッチの適用が不可欠です。
確認方法
ご自身の環境で利用しているJeecgBootのバージョンが、影響を受けるバージョン(3.9.1まで)に該当するかを確認してください。パッチ適用後は、脆弱性が修正されたことを確認するためのテストを実施することが望ましいです。
参考情報
- CVE-2026-3672の詳細情報: https://cvefeed.io/vuln/detail/CVE-2026-3672