つみかさね

CVE-2026-28785

Critical(9.8)

CVE-2026-28785 — Ghostfolio SQLインジェクション

公開日: 2026-03-11データソース: NVD, GitHub Advisory

影響を受けるソフトウェア

製品ベンダー影響バージョン
GhostfolioGhostfolio< 2.244.0
CVEGhostfolioSQLインジェクション金融データ

概要

Ghostfolioは、個人の資産管理を行うためのオープンソースソフトウェアです。投資ポートフォリオの追跡や分析機能を提供し、多くの個人投資家に利用されています。本脆弱性は、Ghostfolioの資産履歴データを取得するgetHistorical()メソッドにSQLインジェクションが存在する問題です。

攻撃者は、シンボル検証のバイパスを通じて悪意のあるSQLコマンドを注入し、データベースに対して任意のクエリを実行することが可能です。これにより、全ユーザーの金融データ(保有資産、取引履歴、ポートフォリオ情報)の読み取り、変更、削除が行われる恐れがあります。

個人の金融情報は極めてセンシティブなデータであり、漏洩した場合の影響は甚大です。Ghostfolioを運用しているユーザーは、直ちにバージョン2.244.0以降へアップデートすることが強く推奨されます。

CVSSベクトル

項目
CVSSスコア9.8
深刻度Critical
CWECWE-89 (SQLインジェクション)

影響を受けるソフトウェア

製品ベンダー影響バージョン
GhostfolioGhostfolio< 2.244.0

修正バージョンと回避策

  • 修正バージョン: Ghostfolio 2.244.0
  • 暫定回避策: WAFによるSQLインジェクションパターンのブロック、および外部からのAPIアクセスを制限する。可能であればサービスを一時停止し、速やかにアップデートを適用する

関連リンク

データソース: NVD (NIST) AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。

関連する脆弱性

CVE-2026-28680Ghostfolio SSRF によるクラウドメタデータ漏洩CVSS 9.3

参考リンク

NVD:https://nvd.nist.gov/vuln/detail/CVE-2026-28785
GitHub Advisory:https://github.com/ghostfolio/ghostfolio/security/advisories/GHSA-m5cc-7jw5-34xp
Release:https://github.com/ghostfolio/ghostfolio/releases/tag/2.244.0
Xでシェアはてブ
データソース: NVD (NIST), OSV (Google), GitHub Advisory Database, JVN iPedia (IPA/JPCERT/CC)
AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。