概要
ChurchCRM(オープンソースの教会管理システム)において、以前修正された CVE-2026-39337 のパッチが不完全だったことが判明した。セットアップウィザードの DB_PASSWORD パラメーターへの入力がサニタイズされておらず、認証なしでリモートから任意コードを実行できる状態が残存していた。
CVSS スコアは最大値の 10.0 で、攻撃者は特別な権限や事前の認証を一切必要とせずに攻撃を成功させられる。
CVSSベクトル
| 要素 | 値 | 説明 |
|---|---|---|
| 攻撃経路(AV) | ネットワーク(N) | インターネット経由で攻撃可能 |
| 攻撃の複雑さ(AC) | 低(L) | 特別な条件不要 |
| 必要な権限(PR) | 不要(N) | 認証なしで攻撃可能 |
| ユーザー操作(UI) | 不要(N) | 被害者の操作不要 |
| スコープ(S) | 変更あり(C) | 他のシステムへ影響波及 |
| 機密性(C) | 高(H) | 全情報が窃取されうる |
| 完全性(I) | 高(H) | データの完全な改ざんが可能 |
| 可用性(A) | 高(H) | サービスの完全な停止が可能 |
影響を受けるソフトウェア
| 製品 | ベンダー | 影響バージョン |
|---|---|---|
| ChurchCRM | ChurchCRM プロジェクト | 7.3.2 未満 |
修正バージョンと回避策
修正バージョン: ChurchCRM 7.3.2
GitHub Releases からの最新版アップデートを推奨する。即時アップグレードが困難な場合は、セットアップウィザードへの外部アクセスをファイアウォールまたは Web サーバーの設定で遮断することで、攻撃経路を一時的に制限できる。
関連リンク
データソース: NVD (NIST), GitHub Advisory Database
AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。