概要
Talisharアプリケーションにおいて、クロスサイトリクエストフォージェリ(CSRF)の脆弱性「CVE-2026-27632」が報告されました。TalisharはファンメイドのFlesh and Bloodプロジェクトとして知られています。この脆弱性は、アプリケーションが重要な状態変更エンドポイントにおいて、一意で予測不可能なセッショントークンを要求しないことに起因します。CVSSv3スコアは2.6と評価されており、深刻度は「低」とされています。
影響範囲
本脆弱性の影響を受けるのは、コミット6be3871a14c192d1fb8146cdbc76f29f27c1cf48以前のTalisharアプリケーションです。特に、SubmitChat.phpおよびその他のゲームインタラクションハンドラ内の状態変更エンドポイントが影響を受けると報告されています。
想定される影響
この脆弱性が悪用された場合、認証済みのユーザーが意図しない操作をさせられる可能性があります。具体的には、第三者の悪意あるウェブサイトが、認証済みユーザーに代わって不正なリクエストをTalisharアプリケーションに送信し、アクティブなゲームセッション内でユーザーの意図しないアクション(例:チャットの送信)が実行される恐れがあります。
攻撃成立条件・悪用状況
攻撃を成立させるためには、以下の条件を満たす必要があるとされています。
- 攻撃者は、対象となるプレイヤーの正確な
gameNameとplayerIDの両方を知っている必要があります。 - プレイヤーは、ゲームをプレイ中に悪意のあるウェブサイトを閲覧し、そのウェブサイトと何らかの操作を行う必要があります。
現在のところ、この脆弱性の悪用状況に関する具体的な報告は確認されていません。
推奨対策
今すぐできる対策
- Talisharアプリケーションのアップデート: 本脆弱性は、コミット
6be3871a14c192d1fb8146cdbc76f29f27c1cf48で修正されています。Talisharアプリケーションをご利用の場合は、可能な限り速やかに最新版へアップデートすることを強く推奨します。
中長期的な対策
- セキュリティパッチの適用計画: 今後も利用するソフトウェアについては、定期的なセキュリティパッチ適用計画を策定し、常に最新の状態を維持するよう努めてください。
- セキュリティ教育の実施: 従業員に対し、不審なウェブサイトの閲覧やリンクのクリックを避けるよう注意喚起し、フィッシング詐欺などに対するセキュリティ意識を高める教育を実施してください。
一時的な緩和策
現時点では、具体的な一時的な緩和策は報告されていません。根本的な解決策として、速やかなアップデートが推奨されます。
確認方法
ご利用のTalisharアプリケーションのバージョンが、修正コミット6be3871a14c192d1fb8146cdbc76f29f27c1cf48以降であるかを確認してください。
参考情報
- CVE-2026-27632 詳細: https://cvefeed.io/vuln/detail/CVE-2026-27632