つみかさね

CVE-2026-26980

Critical(9.4)

CVE-2026-26980 — Ghost CMS SQLインジェクション脆弱性

公開日: 2026-05-13データソース: NVD, GitHub Advisory

影響を受けるソフトウェア

製品ベンダー影響バージョン
GhostGhost Foundation< 6.19.1

対応ガイド

high|対応必須セキュリティ修正影響: 広範

推奨アクション

  1. 1Ghost CMSのバージョンを確認する
  2. 2v6.19.1以降へアップデートする
  3. 3アップデートが困難な場合はContent APIへのアクセス制限を検討する

影響対象

Ghost CMS運用者

補足

  • -Content APIは公開APIのため外部から攻撃可能です。速やかなアップデートを推奨します
CVEGhostSQLインジェクションCMS

概要

オープンソースのヘッドレスCMSであるGhostのContent APIにSQLインジェクションの脆弱性が確認されました。攻撃者はContent APIに対して細工したリクエストを送信することで、データベースに対する不正な操作を実行できます。

Content APIは公開コンテンツの配信に使用されるため、多くの環境で外部からアクセス可能な状態にあります。この脆弱性を悪用されると、データベース内の機密情報(ユーザー情報、メールアドレス、APIキーなど)が漏洩する可能性があります。Ghost CMSを運用している組織は、速やかにv6.19.1以降へアップデートしてください。

CVSSベクトル

項目
CVSSスコア9.4(Critical)
CWECWE-89(SQLインジェクション)
攻撃元区分ネットワーク
攻撃条件の複雑さ
必要な特権レベル不要

影響を受けるソフトウェア

製品ベンダー影響バージョン
GhostGhost Foundation< 6.19.1

修正バージョンと回避策

  • Ghost v6.19.1 へアップデートしてください
  • アップデートが困難な場合は、Content APIへのアクセスをWAF等で制限することを検討してください

関連リンク

データソース: NVD (NIST), GitHub Advisory Database AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。

参考リンク

NVD:https://nvd.nist.gov/vuln/detail/CVE-2026-26980
GitHub Advisory:https://github.com/TryGhost/Ghost/security/advisories/GHSA-w52v-v783-gw97
Xでシェアはてブ
データソース: NVD (NIST), OSV (Google), GitHub Advisory Database, JVN iPedia (IPA/JPCERT/CC)
AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。