つみかさね

CVE-2026-33273

High(8.8)

CVE-2026-33273 — 抹茶シリーズ 複数の脆弱性

公開日: 2026-04-09データソース: NVD, GitHub Advisory

影響を受けるソフトウェア

製品ベンダー影響バージョン
抹茶シリーズ株式会社アイシーズアドバイザリ参照

対応ガイド

high|推奨セキュリティ修正影響: 限定的

推奨アクション

  1. 1抹茶シリーズの利用有無を確認する
  2. 2アイシーズ社のアドバイザリで修正バージョンを確認する
  3. 3修正バージョンへのアップデートを実施する
  4. 4アップデートが困難な場合はWAFによる暫定防御を検討する

影響対象

抹茶シリーズ利用者

補足

  • -SQLインジェクションとファイルアップロード検証不備が含まれるため、複合的な攻撃リスクに注意してください
CVE抹茶シリーズSQLインジェクションXSS

概要

株式会社アイシーズ が 提供 する「抹茶シリーズ」に 3件 の 脆弱性 が 報告 されています。SQL インジェクション、クロスサイトスクリプティング(XSS)、アップロードファイル の 検証不備 が 含まれ、CVSS 8.8 の High 評価 です。

SQL インジェクション に より データベース の 不正操作 や 情報漏洩、XSS に より ユーザー の セッション乗っ取り、ファイルアップロード 検証不備 に より 不正 な ファイル の 設置 が 可能 と なる 恐れ が あります。3件 が 組み合わさる こと で 攻撃 の 幅 が 広がる ため、早め の 対応 を 推奨 します。

CVSSベクトル

項目
CVSS v3 スコア8.8 (High)
攻撃元区分 (AV)ネットワーク
攻撃条件の複雑さ (AC)
必要な特権 (PR)
ユーザー関与 (UI)なし

含まれる脆弱性

CVE IDCWE脆弱性の種類報告者
CVE-2026-24913CWE-89SQL インジェクション三井物産セキュアディレクション 近川健太 氏
CVE-2026-27787CWE-79クロスサイトスクリプティング三井物産セキュアディレクション 近川健太 氏
CVE-2026-33273CWE-434アップロードファイル の 検証不備馬場将次 氏

影響を受けるソフトウェア

  • 製品名: 抹茶シリーズ
  • ベンダー: 株式会社アイシーズ
  • 影響バージョン: アイシーズ社 の アドバイザリ を 参照 してください

修正バージョンと回避策

アイシーズ社 が 提供 する 修正版 へ の アップデート を 推奨 します。

  • SQL インジェクション 対策 として WAF(Web Application Firewall)の 導入 も 有効 な 緩和策 です
  • ファイルアップロード 機能 の 利用 を 一時的 に 制限 する こと で リスク を 軽減 できます
  • XSS 対策 として Content-Security-Policy ヘッダー の 設定 を 検討 してください

関連リンク

データソース: NVD (NIST), JVN iPedia (IPA/JPCERT/CC) AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。

関連する脆弱性

CVE-2026-24913抹茶シリーズ SQLインジェクションCVSS 8.8CVE-2026-27787抹茶シリーズ XSSCVSS 8.8

参考リンク

JVN:https://jvndb.jvn.jp/ja/contents/2026/JVNDB-2026-000052.html
NVD:https://nvd.nist.gov/vuln/detail/CVE-2026-33273
Xでシェアはてブ
データソース: NVD (NIST), OSV (Google), GitHub Advisory Database, JVN iPedia (IPA/JPCERT/CC)
AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。