つみかさね

CVE-2026-45087

Critical(9.8)

CVE-2026-45087 — Dalfox Server Mode リモートコード実行脆弱性

公開日: 2026-05-13データソース: NVD, GitHub Advisory

影響を受けるソフトウェア

製品ベンダー影響バージョン
Dalfoxhahwul< 2.13.0

対応ガイド

high|対応必須セキュリティ修正moderate

推奨アクション

  1. 1Dalfoxのバージョンを確認する
  2. 2v2.13.0以降へアップデートする
  3. 3Server Modeを外部に公開していないか確認する

影響対象

Dalfox Server Mode利用者

補足

  • -Server Modeは認証機構を持たないため、ネットワーク公開環境では特に危険です
CVEDalfoxリモートコード実行コードインジェクション

概要

XSSスキャニングツールであるDalfoxのServer Modeに、未認証のリモートコード実行(RCE)の脆弱性が確認されました。found-action パラメータを通じて任意のコードを注入・実行することが可能です。

DalfoxのServer Modeは認証機構を持たないため、ネットワーク上でServer Modeを公開している環境では、攻撃者が認証なしで任意のコマンドを実行できます。セキュリティツール自体の脆弱性であり、テスト環境やCI/CDパイプラインで使用している場合は特に注意が必要です。v2.13.0以降へのアップデートを速やかに実施してください。

CVSSベクトル

項目
CVSSスコア9.8(Critical)
CWECWE-94(コードインジェクション)
攻撃元区分ネットワーク
攻撃条件の複雑さ
必要な特権レベル不要

影響を受けるソフトウェア

製品ベンダー影響バージョン
Dalfoxhahwul< 2.13.0

修正バージョンと回避策

  • Dalfox v2.13.0 へアップデートしてください
  • アップデートが困難な場合は、Server Modeを外部ネットワークに公開しないでください
  • Server Mode利用時はファイアウォール等でアクセス元を制限してください

関連リンク

データソース: NVD (NIST), GitHub Advisory Database AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。

参考リンク

NVD:https://nvd.nist.gov/vuln/detail/CVE-2026-45087
GitHub Advisory:https://github.com/hahwul/dalfox/security/advisories/GHSA-v25v-m36w-jp4h
Xでシェアはてブ
データソース: NVD (NIST), OSV (Google), GitHub Advisory Database, JVN iPedia (IPA/JPCERT/CC)
AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。