つみかさね

CVE-2026-11457

High(7.3)

CVE-2026-11457 — JeeWMS JimuReport test-connection インジェクション脆弱性

公開日: 2026-06-08データソース: NVD, GitHub Advisory

影響を受けるソフトウェア

製品ベンダー影響バージョン
JeeWMSerzhongxmu141740afb2ba14d441c82a833d0a418d07ca2d69 以前(ローリングリリース)

対応ガイド

high|推奨セキュリティ修正影響: 限定的

推奨アクション

  1. 1JeeWMS を使用しているか確認する
  2. 2使用している場合、/jmreport/testConnection エンドポイントへの外部アクセスを制限する
  3. 3ベンダーの対応状況を継続的に確認し、修正が提供された場合は速やかに適用する

影響対象

JeeWMS 利用者

補足

  • -ローリングリリース製品のため影響バージョンの特定が困難です。エクスプロイトが公開されているため、外部公開環境での対策が特に重要です
CVEJeeWMSJimuReportインジェクションWebアプリJava

概要

倉庫管理システム JeeWMS(erzhongxmu 製)において、JimuReport の test-connection エンドポイント(/base-boot/jmreport/testConnection)にインジェクション(CWE-74 / CWE-707)の脆弱性が存在します。

dbTypedbDriverdbUrldbUsernamedbPassword 等のパラメータを操作することでインジェクションが可能です。エクスプロイトが公開されており、ベンダーへの早期開示を行ったものの現時点で応答がありません。JeeWMS はローリングリリース方式のため、影響バージョンの特定が難しい状況です。

CVSSベクトル

項目
Attack VectorNetwork
Attack ComplexityLow
Privileges RequiredNone
User InteractionNone
ScopeUnchanged
Confidentiality ImpactLow
Integrity ImpactLow
Availability ImpactLow

影響を受けるソフトウェア

製品名ベンダー影響バージョン
JeeWMSerzhongxmu141740afb2ba14d441c82a833d0a418d07ca2d69 以前(ローリングリリース)

修正バージョンと回避策

  • パッチ: 2026年6月8日時点でベンダーからの公式対応は確認されていません。
  • 影響を受けるエンドポイント(/jmreport/testConnection)へのアクセスを WAF や IP 制限で制御してください。
  • ベンダーの GitHub リポジトリや公式チャンネルで対応状況を継続的に確認してください。

関連リンク

データソース: NVD (NIST), GitHub Advisory Database
AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。

関連する脆弱性

CVE-2026-11456Chanjet CRM SQLインジェクションCVSS 7.3

参考リンク

NVD:https://nvd.nist.gov/vuln/detail/CVE-2026-11457
VulnDB:https://vuldb.com/vuln/369076
Xでシェアはてブ
データソース: NVD (NIST), OSV (Google), GitHub Advisory Database, JVN iPedia (IPA/JPCERT/CC)
AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。