つみかさね

CVE-2026-41478

Critical(9.9)

CVE-2026-41478 — Saltcorn SQLインジェクション

公開日: 2026-04-26データソース: NVD, GitHub Advisory

影響を受けるソフトウェア

製品ベンダー影響バージョン
Saltcornsaltcorn< 1.4.6 / < 1.5.6 / < 1.6.0-beta.5

対応ガイド

high|対応必須セキュリティ修正影響: 広範

推奨アクション

  1. 1Saltcornのバージョンを確認する
  2. 2影響バージョンの場合は修正バージョンへアップデートする
  3. 3データベースへの不正アクセスがないかログを確認する

影響対象

Saltcorn利用者

補足

  • -低権限ユーザーでも悪用可能なため、早急な対応を推奨
CVESaltcornSQLインジェクションノーコード

概要

オープンソースのノーコードデータベースアプリケーションビルダー「Saltcorn」のモバイル同期ルートに、SQLインジェクション脆弱性が存在します。

少なくとも1つのテーブルへの読み取りアクセスを持つ認証済み低権限ユーザーが、同期パラメータを介して任意のSQLを注入できます。これにより、管理者パスワードハッシュや設定シークレットを含むデータベース全体の窃取が可能であり、バックエンドによってはデータベースの変更や破壊も可能です。

CVSSベクトル

指標
CVSSスコア9.9(Critical)
攻撃元区分ネットワーク
攻撃条件の複雑さ
必要な権限レベル
CWECWE-89(SQLインジェクション)

影響を受けるソフトウェア

製品ベンダー影響バージョン修正バージョン
Saltcornsaltcorn1.4.6未満1.4.6
Saltcornsaltcorn1.5.6未満1.5.6
Saltcornsaltcorn1.6.0-beta.5未満1.6.0-beta.5

修正バージョンと回避策

  • 修正: 1.4.6、1.5.6、1.6.0-beta.5以降へアップデート
  • 回避策: モバイル同期機能を使用しない場合、該当エンドポイントへのアクセスを制限

関連リンク

データソース: NVD (NIST), GitHub Advisory Database AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。

参考リンク

NVD:https://nvd.nist.gov/vuln/detail/CVE-2026-41478
GHSA:https://github.com/saltcorn/saltcorn/security/advisories/GHSA-jp74-mfrx-3qvh
Xでシェアはてブ
データソース: NVD (NIST), OSV (Google), GitHub Advisory Database, JVN iPedia (IPA/JPCERT/CC)
AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。