概要
コンテンツ管理システム(CMS)であるCraft CMSのバージョン4.5.0-RC1から4.16.18、および5.0.0-RC1から5.8.22において、トークン検証サービスにTime-of-Check-Time-of-Use (TOCTOU) レースコンディションの脆弱性(CVE-2026-27128)が報告されています。この脆弱性は、使用回数が明示的に制限されているトークン(例えば、1回限りのなりすましトークンなど)が、その制限を超えて複数回使用される可能性を指摘しています。
具体的には、トークンの使用回数を読み取り、制限内であるかを確認し、その後データベースを更新する一連の操作がアトミックではないため、攻撃者が並行してリクエストを送信することで、データベースの更新が完了する前に同じトークンを複数回使用できる可能性があります。
影響範囲
- Craft CMS バージョン 4.5.0-RC1 から 4.16.18
- Craft CMS バージョン 5.0.0-RC1 から 5.8.22
想定される影響
この脆弱性が悪用された場合、本来1回限りであるべきなりすましトークンなどが、複数回利用される可能性があります。これにより、攻撃者がより高い権限を持つユーザーのなりすましトークンを入手していた場合、その権限を意図された回数以上に利用し、システムへの不正アクセスや権限昇格につながる恐れがあります。
攻撃成立条件・悪用状況
攻撃が成立するためには、以下の条件を満たす必要があると報告されています。
- 攻撃者は、有効期限内の有効なユーザーアカウントなりすましURL(トークン付き)を何らかの手段で事前に取得している必要があります。
- 攻撃者は、システムに設定されているレート制限ルールを回避しながら、並行リクエストを送信してレースコンディションを悪用する必要があります。
- 権限昇格につながる場合、取得したなりすましURLには、現在のユーザーよりも高い権限を持つアカウントのトークンが含まれている必要があります。
現時点では、この脆弱性の具体的な悪用状況については不明です。
推奨対策
この脆弱性に対する最も効果的な対策は、修正済みのバージョンへアップデートすることです。
- 今すぐできる対策(最優先)
- Craft CMS を以下の修正済みバージョンにアップデートしてください。
- Craft CMS バージョン 4.16.19
- Craft CMS バージョン 5.8.23
- Craft CMS を以下の修正済みバージョンにアップデートしてください。
一時的な緩和策
現時点では、具体的な一時的な緩和策は報告されていません。可能な限り速やかに修正済みバージョンへのアップデートを検討してください。
確認方法
ご自身のCraft CMSのバージョンを確認し、影響を受けるバージョンに該当するかどうかを確認してください。バージョン情報は通常、管理画面や設定ファイルなどで確認できます。