Cwe 89

CWE-89: SQLインジェクション 🧬 CWE 関連 54
slug: cwe-89

解説

CWE-89は「Webアプリがユーザー入力をきちんとパラメータ化せずにSQL文に埋め込んでしまう欠陥」のことです。 攻撃者はSQL文の構造を書き換えてデータベースを直接操作でき、全ユーザーのID/パスワードを抜く・データ改ざん・データベース全削除など何でもされます。 対策は「プリペアドステートメント (パラメータ化クエリ)」を必ず使うこと。
📌 具体例
Equifax事件 (2017): 米国最大の信用情報機関で1.4億人の個人情報流出。直接的にはApache Strutsの脆弱性だったが、SQLi脆弱性を経由した類似事件は無数にある。

🔖 関連タグ

🛡 このタグに関連する脆弱性 1,707

ID タイトル
CVE-2020-19961 sqli に SQLインジェクション (CVE-2020-19961)
CVE-2021-29004 sqli に SQLインジェクション (CVE-2021-29004)
CVE-2021-39302 sqli に SQLインジェクション (CVE-2021-39302)
CVE-2021-28993 sqli に SQLインジェクション (CVE-2021-28993)
CVE-2020-23630 A blind SQL injection vulnerability exists in zzcms ver201910 based on time (cookie injection).
CVE-2020-29228 sqli に SQLインジェクション (CVE-2020-29228)
CVE-2020-35276 sqli に SQLインジェクション (CVE-2020-35276)
CVE-2020-28860 sqli に SQLインジェクション (CVE-2020-28860)
CVE-2020-25487 sqli に SQLインジェクション (CVE-2020-25487)
CVE-2020-25514 simple-library-management-system-project に SQLインジェクション (CVE-2020-25514)
CVE-2020-24193 sqli に SQLインジェクション (CVE-2020-24193)
CVE-2017-18362 KEV 【KEV】Kaseya virtual-systemserver-administrator-vsa に SQLインジェクション (CVE-2017-18362)
CVE-2022-27984 sqli に SQLインジェクション (CVE-2022-27984)
CVE-2022-27985 sqli に SQLインジェクション (CVE-2022-27985)
CVE-2018-7841 KEV 【KEV】Schneider electric schneider-electric に SQLインジェクション (CVE-2018-7841)
CVE-2021-37291 sqli に SQLインジェクション (CVE-2021-37291)
CVE-2021-20028 KEV 【KEV】Sonicwall secure-remote-access-sra に SQLインジェクション (CVE-2021-20028)
CVE-2019-12989 KEV 【KEV】Citrix sd-wan-and-netscaler に SQLインジェクション (CVE-2019-12989)
CVE-2021-44088 sqli に SQLインジェクション (CVE-2021-44088)
CVE-2021-42633 sqli に SQLインジェクション (CVE-2021-42633)
CVE-2020-5722 KEV 【KEV】Grandstream ucm6200 に SQLインジェクション (CVE-2020-5722)
CVE-2022-23305 log4j:log4j に SQLインジェクション (CVE-2022-23305)
CVE-2020-17463 KEV 【KEV】Fuel cms fuel-cms に SQLインジェクション (CVE-2020-17463)
CVE-2021-27101 KEV 【KEV】Accellion fta に SQLインジェクション (CVE-2021-27101)
CVE-2021-42258 KEV 【KEV】Bqe billquick-web-suite に SQLインジェクション (CVE-2021-42258)
CVE-2019-7481 KEV 【KEV】Sonicwall sma100 に SQLインジェクション (CVE-2019-7481)
CVE-2021-20016 KEV 【KEV】Sonicwall sslvpn-sma100 に SQLインジェクション (CVE-2021-20016)
CVE-2020-12271 KEV 【KEV】Sophos sfos に SQLインジェクション (CVE-2020-12271)
CVE-2020-20585 c に SQLインジェクション (CVE-2020-20585)
CVE-2020-22168 sqli に SQLインジェクション (CVE-2020-22168)

🍪 Cookie について

当サイトはログイン状態の保持・言語設定・サービス改善のために Cookie を使用します。詳細は下記リンクをご確認ください。

詳細 →