概要
MaxSite CMSのバージョン109.1以前において、MarkItUp Preview AJAX Endpointコンポーネント内のapplication/maxsite/admin/plugins/editor_markitup/preview-ajax.phpファイルに存在するeval関数に、コードインジェクションの脆弱性(CVE-2026-3395)が報告されています。この脆弱性を悪用されると、リモートからの攻撃により任意のコードが実行される可能性があります。
本脆弱性の深刻度は「HIGH」(CVSSスコア7.5相当)と評価されており、既にエクスプロイトコードが公開されているため、注意が必要です。
影響範囲
- MaxSite CMS バージョン 109.1 およびそれ以前のバージョンが影響を受けます。
- 具体的には、MarkItUp Preview AJAX Endpointコンポーネントを使用している環境が対象となります。
想定される影響
攻撃者によって、リモートから任意のコードが実行される可能性があります。これにより、ウェブサイトの改ざん、機密情報の窃取、システムの乗っ取りなど、深刻な被害につながる恐れがあります。
攻撃成立条件・悪用状況
攻撃成立条件
- MaxSite CMSの脆弱なバージョンが稼働していること。
- MarkItUp Preview AJAX Endpointコンポーネントが利用可能な状態であること。
- リモートからの攻撃が可能と報告されています。
悪用状況
- 本脆弱性に対するエクスプロイトコードが既に公開されており、悪用される可能性が高いとされています。
推奨対策
【最優先で実施すべき対策】
- MaxSite CMSのアップデート: 開発元から提供されているバージョン109.2への速やかなアップデートを強く推奨します。このアップデートには、脆弱性を修正するパッチ(08937a3c5d672a242d68f53e9fccf8a748820ef3)が含まれています。
一時的な緩和策
現時点では、具体的な一時的な緩和策に関する情報はありません。可能な限り速やかにアップデートを実施してください。
確認方法
- 現在利用しているMaxSite CMSのバージョンを確認し、109.1以前である場合は脆弱性の影響を受ける可能性があります。
- システムログなどを監視し、不審なアクセスや挙動がないか確認することも重要です。
参考情報
- CVE-2026-3395 詳細情報: https://cvefeed.io/vuln/detail/CVE-2026-3395