概要
慈善団体向けのWeb管理ツールであるWeGIAにおいて、特定のスクリプトに認証および権限チェックの不備が存在する脆弱性(CVE-2026-28408)が報告されています。具体的には、バージョン3.6.5より前の`adicionar_tipo_docs_atendido.php`スクリプトが、プロジェクトの主要なコントローラーを経由せず、独自の認証・権限チェックを欠いているとされています。
この脆弱性により、認証されていない外部の攻撃者が、従業員専用の機能にアクセスし、アプリケーションサーバーのストレージに大量の不正データを注入する可能性があると報告されています。本脆弱性はCVSSv3スコア9.8の「緊急(CRITICAL)」と評価されており、バージョン3.6.5で修正されています。
影響範囲
WeGIAのバージョン3.6.5より前の全てのバージョンが、本脆弱性の影響を受ける可能性があります。特に、`adicionar_tipo_docs_atendido.php`スクリプトが稼働している環境が対象となります。
想定される影響
- 不正なデータ注入: 攻撃者がアプリケーションサーバーのストレージに大量の不正データを注入する可能性があります。これにより、システムの整合性が損なわれたり、ストレージが枯渇したりする恐れがあります。
- 機密情報への不正アクセス: 従業員専用機能へのアクセスが可能になるため、本来アクセスが許可されていない情報にアクセスされる可能性があります。
- システム機能の悪用: 従業員専用の管理機能が悪用され、システム設定の変更や他の不正行為に繋がる可能性があります。
攻撃成立条件・悪用状況
攻撃者は、PostmanのようなAPIテストツールや、Web上の当該ファイルのURLを直接利用してリクエストを送信することで、この脆弱性を悪用できると報告されています。認証なしでアクセス可能なため、攻撃の敷居は低いと考えられます。
現時点での具体的な悪用状況については、公開情報からは不明です。
推奨対策(優先度付き)
- 【最優先】速やかなアップデートの適用:
- WeGIAをバージョン3.6.5以降にアップデートしてください。このバージョンで本脆弱性は修正されています。
- アップデートの際は、事前にバックアップを取得し、テスト環境での動作確認を強く推奨します。
一時的な緩和策
もし直ちにアップデートが困難な場合、以下の緩和策を検討してください。
- `adicionar_tipo_docs_atendido.php`スクリプトへの外部からのアクセスを制限することを検討してください。Webサーバーの設定やネットワークレベルでのアクセス制御が有効な場合があります。
- Webアプリケーションファイアウォール(WAF)などを導入し、当該スクリプトへの不審なリクエストをブロックするルールを設定することも有効な場合があります。
ただし、これらは一時的な緩和策であり、根本的な解決にはアップデートが必要です。
確認方法
- 現在利用しているWeGIAのバージョンを確認してください。バージョンが3.6.5未満である場合、本脆弱性の影響を受ける可能性があります。
- システムログなどを確認し、`adicionar_tipo_docs_atendido.php`への不審なアクセスがないか監視することも推奨されます。
参考情報
- CVEfeed.io: https://cvefeed.io/vuln/detail/CVE-2026-28408