CVE-2026-46670

Critical(0)

CVE-2026-46670 — YesWiki 未認証SQLインジェクション

公開日: 2026-05-23データソース: NVD, GitHub Advisory

影響を受けるソフトウェア

製品	ベンダー	影響バージョン
yeswiki/yeswiki	YesWiki	< 4.6.4

対応ガイド

high|対応必須セキュリティ修正影響: 広範

推奨アクション

1YesWiki のバージョンを確認する
2v4.6.4 へアップデートする
3インターネット公開中のインスタンスはアップデートまでの間、アクセス制限を実施する

影響対象

YesWiki 利用者（特にインターネット公開インスタンス）

補足

-未認証の攻撃経路のため、公開インスタンスは優先度を上げて対応を検討してください

CVEYesWikiSQLインジェクションPHPPackagist未認証

概要

PHP 製 Wiki エンジン YesWiki に、認証なしで悪用可能な SQL インジェクション脆弱性が存在します（GHSA: Critical）。認証前の攻撃経路であるため、インターネットに公開しているインスタンスは外部から直接攻撃される可能性があります。

SQL インジェクションが成功した場合、データベースの内容の読み取り・改ざん・削除、および環境によっては OS コマンド実行につながる可能性があります。

CVSS ベクトル

CVSS スコアは現在 NVD で採点中です（GHSA 深刻度: Critical）。

影響を受けるソフトウェア

製品	ベンダー	脆弱なバージョン	修正バージョン
yeswiki/yeswiki (Packagist)	YesWiki	< 4.6.4	4.6.4

修正バージョンと回避策

推奨対応: YesWiki を v4.6.4 へアップデートしてください。

即時アップデートが困難な場合は、以下の暫定対応を検討してください：

インターネットからのアクセスを制限し、IP アドレスによるアクセス制御を設定する
WAF（Web Application Firewall）での SQL インジェクション対策を有効にする

関連リンク

データソース: NVD (NIST), GitHub Advisory Database
AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。

参考リンク

NVD:https://nvd.nist.gov/vuln/detail/CVE-2026-46670

GHSA:https://github.com/YesWiki/yeswiki/security/advisories/GHSA-jwvv-qr7q-cv8j

Xでシェアはてブ

データソース: NVD (NIST), OSV (Google), GitHub Advisory Database, JVN iPedia (IPA/JPCERT/CC)
AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。