概要
Checkmate は プロジェクト 管理 ツール です。バージョン 3.5.1 以下 に おいて、Mass Assignment(CWE-269, CWE-285)に よる 権限昇格 の 脆弱性 が 存在 します。API リクエスト の パラメータ に 本来 変更 が 許可 されて いない フィールド(例: ロール や 権限)を 含める こと で、攻撃者 が 自身 の 権限 を 昇格 する 可能性 が あります。
この 脆弱性 に より、一般 ユーザー が 管理者 権限 を 取得 し、システム 全体 を 制御 する 恐れ が あります。現時点 で 修正 バージョン は 提供 されて いない ため、回避策 の 適用 が 推奨 されます。
CVSS ベクトル
| 項目 | 値 |
|---|---|
| CVSS スコア | 8.1 |
| 深刻度 | High |
| CWE | CWE-269 (不適切 な 権限 管理), CWE-285 (不適切 な 認可) |
影響 を 受ける ソフトウェア
| 製品名 | ベンダー | 影響 バージョン |
|---|---|---|
| Checkmate | Checkmate | 3.5.1 以下 |
修正 バージョン と 回避策
- 修正バージョン: 現時点 で 未提供
- 回避策: API リクエスト の パラメータ を ホワイトリスト 方式 で フィルタリング する。権限 関連 の フィールド を 変更 不可 に する
関連 リンク
データソース: NVD (NIST) AI解説 は Claude API に より 自動生成 されています。正確性 に ついては 原文 を ご確認 ください。