概要
Dromara UJCMS 10.0.2において、インジェクションの脆弱性(CVE-2026-2954)が存在すると報告されています。この脆弱性は、ImportDataControllerコンポーネント内のimportChanel機能(具体的には/api/backend/ext/import-data/import-channelファイル)に影響を与えます。攻撃者は、driverClassNameまたはurl引数を操作することで、インジェクション攻撃を試みる可能性があります。
本脆弱性はリモートからの攻撃が可能であり、攻撃コード(エクスプロイト)が既に公開されていると報告されています。ベンダーは本件について連絡を受けているものの、現時点での対応は確認されていません。この脆弱性の深刻度は「MEDIUM」と評価されています。
影響範囲
- Dromara UJCMS 10.0.2が影響を受けると報告されています。
- 具体的には、
ImportDataControllerコンポーネントのimportChanel機能が脆弱性の対象です。
想定される影響
攻撃者は、細工されたdriverClassNameやurl引数を用いることで、システムに対して任意のコード実行や情報漏洩などのインジェクション攻撃を試みる可能性があります。リモートからの攻撃が可能であるため、インターネットに公開されているシステムは特に注意が必要です。攻撃コードが公開されていると報告されており、悪用されるリスクが高まっている可能性があります。
攻撃成立条件・悪用状況
- 攻撃はリモートから実行可能であると報告されています。
driverClassNameまたはurl引数を操作することで脆弱性が悪用される可能性があります。- 攻撃コード(エクスプロイト)は既に公開されており、悪用される可能性が指摘されています。
推奨対策
最優先で実施すべき対策
- ベンダーからの公式パッチやアップデートが提供された場合、速やかに適用することを強く推奨します。現時点ではパッチが提供されていないため、代替の緩和策の検討が必要です。
中長期的な対策
- システムの監視を強化し、異常なアクセスや挙動がないか継続的に確認してください。
- 脆弱性スキャンツールなどを活用し、自社環境における潜在的なリスクを定期的に評価してください。
一時的な緩和策
- 影響を受ける機能(
ImportDataControllerのimportChanel機能)へのアクセスを制限することを検討してください。例えば、特定のIPアドレスからのアクセスのみを許可する、または不要な場合は機能を一時的に無効化するなどの対応が考えられます。 - Webアプリケーションファイアウォール(WAF)を導入している場合、インジェクション攻撃パターンに対するルールを強化し、不審なリクエストをブロックする設定を検討してください。
- 外部からのアクセスが必要ない場合は、当該システムをインターネットから隔離することも有効な緩和策となり得ます。
確認方法
- 現在利用しているDromara UJCMSのバージョンが10.0.2であるかを確認してください。
- システムログやネットワークログを監視し、
/api/backend/ext/import-data/import-channelへの不審なアクセスや、driverClassName、url引数を含む異常なリクエストがないか確認してください。
参考情報
- CVEfeed.io: CVE-2026-2954