つみかさね

CVE-2026-32865

Critical(9.8)

CVE-2026-32865 — OPEXUS eComplaint/eCASE パスワードリセット情報漏洩

公開日: 2026-03-31データソース: NVD, GitHub Advisory

影響を受けるソフトウェア

製品ベンダー影響バージョン
eComplaint/eCASEOPEXUS< 10.1.0.0

対応ガイド

high|対応必須セキュリティ修正影響: 極めて広範

推奨アクション

  1. 1影響を受けるバージョンを使用しているか確認
  2. 2修正バージョンへのアップデートまたはパッチ適用
  3. 3アップデート不可の場合は回避策の検討・適用

影響対象

eComplaint/eCASE

補足

  • -CVSS Critical — 早急な対応を推奨します
CVEOPEXUS認証バイパス

概要

OPEXUS eComplaint/eCASE の パスワード リセット 機能 に おいて、検証 コード が レスポンス に 含まれて しまう 情報 漏洩 の 脆弱性(CWE-200、CWE-640)が 存在 します。攻撃者 は この 検証 コード を 取得 して 任意 の ユーザー アカウント の パスワード を リセット し、アカウント 乗っ取り が 可能 に なります。

CISA から の セキュリティ アドバイザリ と して 公開 されて おり、米国 政府 機関 で 使用 されて いる ケース マネジメント システム です。

CVSS ベクトル

項目
CVSS スコア9.8(Critical)
攻撃 元 区分ネットワーク
攻撃 条件 の 複雑 さ
必要 な 特権 レベル不要
ユーザー 関与不要
CWECWE-200(情報 漏洩)、CWE-640(パスワード リセット の 弱い メカニズム)

影響 を 受ける ソフトウェア

製品影響 バージョン修正 バージョン
OPEXUS eComplaint/eCASE< 10.1.0.010.1.0.0

修正 バージョン と 回避策

  • バージョン 10.1.0.0 以降 に アップデート して ください

関連 リンク

データソース: NVD (NIST) AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。

参考リンク

NVD:https://nvd.nist.gov/vuln/detail/CVE-2026-32865
CISA:https://raw.githubusercontent.com/cisagov/CSAF/develop/csaf_files/IT/white/2025/va-26-077-01.json
Xでシェアはてブ
データソース: NVD (NIST), OSV (Google), GitHub Advisory Database, JVN iPedia (IPA/JPCERT/CC)
AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。