概要
Statamicは、LaravelとGitを基盤としたコンテンツ管理システム(CMS)です。この度、Statamicに認証不備の脆弱性(CVE-2026-28424)が存在することが報告されました。この脆弱性は、特定の条件下で、本来アクセス権限を持たないコントロールパネルユーザーが、他のユーザーのメールアドレスを取得できてしまう可能性があるとされています。
影響範囲
この脆弱性の影響を受けるのは、以下のStatamicのバージョンです。
- Statamic バージョン 5.73.11 未満
- Statamic バージョン 6.4.0 未満
これらのバージョンより前のシステムをご利用の場合、影響を受ける可能性があります。
想定される影響
「view users」権限を持たないコントロールパネルユーザーが、ユーザーフィールドタイプのデータエンドポイントからの応答に含まれる形で、他のユーザーのメールアドレスにアクセスできる可能性があります。これにより、メールアドレスの漏洩が発生し、漏洩したメールアドレスが悪用され、標的型攻撃やスパムメールの送信などに繋がるリスクが考えられます。
攻撃成立条件・悪用状況
攻撃成立条件
攻撃者はStatamicのコントロールパネルへのアクセス権を持つユーザーである必要があります。ただし、ユーザー情報を閲覧する「view users」権限は不要と報告されています。
悪用状況
現時点では、この脆弱性が実際に悪用されたという具体的な報告は確認されていません。
推奨対策
最優先で実施すべき対策
- Statamicを修正済みのバージョン(5.73.11以降、または6.4.0以降)に速やかにアップデートしてください。これが最も効果的な対策となります。
中長期的な対策
- CMSや利用しているプラグイン、テーマは常に最新の状態に保ち、定期的にセキュリティアップデートを適用する運用を確立してください。
- コントロールパネルへのアクセス権限は、最小権限の原則に基づき、必要最小限のユーザーにのみ付与し、定期的に見直してください。
一時的な緩和策
現時点では、具体的な一時的な緩和策は報告されていません。修正済みバージョンへのアップデートが最も効果的な対策となります。
確認方法
現在ご利用中のStatamicのバージョンを確認し、影響を受けるバージョンに該当するかどうかを確認してください。バージョンの確認方法はStatamicの公式ドキュメントを参照してください。
参考情報
- CVE-2026-28424 詳細情報: https://cvefeed.io/vuln/detail/CVE-2026-28424