概要
コンテンツ管理システム(CMS)であるStatamicにおいて、リモートコード実行(RCE)の脆弱性(CVE-2026-28425)が報告されました。この脆弱性は、バージョン5.73.11および6.4.0より前のStatamicに存在するとされています。
認証されたコントロールパネルユーザーが、特定の条件でAntlersテンプレートエンジンが有効化された入力フィールドにアクセスできる場合、悪意のあるコードを実行される可能性があります。
影響範囲
この脆弱性の影響を受けるのは、Statamic CMSのバージョン5.73.11および6.4.0より前のすべてのバージョンです。
特に、Statamicに依存するサードパーティ製アドオンを利用している場合も、基盤となるStatamicのバージョンが古いと影響を受ける可能性があります。
想定される影響
本脆弱性が悪用された場合、攻撃者はアプリケーションのコンテキストでリモートコードを実行する可能性があります。これにより、以下のような深刻な影響が想定されます。
- アプリケーションの完全な侵害
- 機密性の高い設定情報へのアクセス
- データの改ざんまたは外部への流出
- アプリケーションの可用性への影響(サービス停止など)
攻撃成立条件・悪用状況
この脆弱性の悪用には、以下の条件が報告されています。
- 攻撃者は、Statamicコントロールパネルへの認証済みアクセス権を持っている必要があります。
- 攻撃者は、Antlersテンプレートエンジンが有効化された入力フィールドにアクセスできる権限を持っている必要があります。具体的には、以下のいずれかの状況が挙げられます。
- Antlersが明示的に有効化されたコンテンツフィールド(フィールド設定権限およびエントリ編集権限が必要)
- フォームのメール通知設定など、Antlersをサポートする組み込み設定(設定権限が必要)
- Antlers有効フィールドを追加するサードパーティ製アドオン(例: SEO Proアドオンなど)
現時点では、この脆弱性の具体的な悪用状況に関する詳細な情報は報告されていません。
推奨対策
今すぐできる対策
- Statamicのアップデート: 開発元から提供されている修正済みバージョンである5.73.11または6.4.0以降へ速やかにアップデートすることを強く推奨します。
- Statamicに依存するサードパーティ製アドオンを利用している場合は、アップデート後にStatamic本体がパッチ適用済みのバージョンで動作していることを必ず確認してください。
中長期的な対策
- 最小権限の原則の適用: コントロールパネルユーザーには、業務上必要最低限の権限のみを付与するように見直し、不要な権限は削除してください。
- セキュリティ監視の強化: 不審なアクセスや異常な挙動を早期に検知できるよう、ログ監視やセキュリティ監視体制を強化することを検討してください。
一時的な緩和策
本脆弱性は認証済みのコントロールパネルユーザーが前提となるため、コントロールパネルへのアクセスを厳格に制限することが一時的な緩和策として考えられます。
- コントロールパネルへのアクセス元IPアドレスを制限する。
- 多要素認証(MFA)を導入し、認証を強化する。
- 不要なユーザーアカウントを無効化または削除する。
ただし、これらの対策は根本的な解決にはならないため、速やかなアップデートが最も重要です。
確認方法
現在利用しているStatamicのバージョンを確認し、修正済みバージョン(5.73.11または6.4.0以降)であるかを確認してください。
バージョン情報は、Statamicの管理画面や設定ファイルなどで確認できる場合があります。