つみかさね

CVE-2026-48188

Critical(9.1)

CVE-2026-48188 — OTRS SQLインジェクション(認証バイパス)

公開日: 2026-06-16データソース: NVD, GitHub Advisory

影響を受けるソフトウェア

製品ベンダー影響バージョン
OTRSOTRS AG7.0.X〜2025.X(2026.4.X未満)
((OTRS)) Community EditionCommunity6.0.x

対応ガイド

high|対応必須セキュリティ修正影響: 限定的

推奨アクション

  1. 1使用中の OTRS バージョンと MySQL/MariaDB の SQL モード設定を確認する
  2. 2NO_BACKSLASH_ESCAPES が有効な場合は速やかに対処する
  3. 3OTRS 2026.4.X 以降へアップグレードする

影響対象

OTRS 7.0.X〜2025.X 利用者(NO_BACKSLASH_ESCAPES 有効時)

補足

  • -NO_BACKSLASH_ESCAPES が無効(デフォルト)の環境は本脆弱性の影響を受けません
  • -((OTRS)) Community Edition はサポート終了のため移行を検討してください
CVEOTRSSQLインジェクション認証バイパスCWE-20

概要

OTRS および ((OTRS)) Community Edition のデータベースレイヤーモジュールにおける不適切な入力検証により、未認証の SQL インジェクションが可能です。攻撃が成功した場合、認証バイパスにつながります。

この問題は MySQL/MariaDB サーバーが NO_BACKSLASH_ESCAPES SQL モードで構成されている場合にのみ影響を受けます。当該 SQL モードが無効(デフォルト設定)の環境では脆弱性は成立しません。

CVSSベクトル

要素説明
Attack VectorNetworkネットワーク経由で攻撃可能
Attack ComplexityLow特別な条件不要(ただし NO_BACKSLASH_ESCAPES 設定が必要)
Privileges RequiredNone認証不要
User InteractionNoneユーザー操作不要
ScopeUnchanged影響範囲変化なし
ConfidentialityHighデータベース内容漏洩のリスク
IntegrityHighデータ改ざんのリスク
AvailabilityNone可用性への直接影響なし

影響を受けるソフトウェア

製品影響バージョン修正バージョン
OTRS7.0.X2026.4.X 以降
OTRS8.0.X2026.4.X 以降
OTRS2023.X2026.4.X 以降
OTRS2024.X2026.4.X 以降
OTRS2025.X2026.4.X 以降
OTRS2026.3.X 以前2026.4.X 以降
((OTRS)) Community Edition6.0.xパッチなし(移行を推奨)

修正バージョンと回避策

修正バージョン: OTRS 2026.4.X 以降へアップグレードしてください。

回避策: MySQL/MariaDB の NO_BACKSLASH_ESCAPES モードを無効化することで、この脆弱性の攻撃条件を解消できます。ただし、アプリケーションの動作に影響する場合があるため、テスト環境での検証を推奨します。

((OTRS)) Community Edition はサポートが終了しているため、商用 OTRS またはその他のシステムへの移行を検討してください。

関連リンク

データソース: NVD (NIST) AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。

参考リンク

NVD:https://nvd.nist.gov/vuln/detail/CVE-2026-48188
OTRS:https://otrs.com/release-notes/otrs-security-advisory-2026-02/
Xでシェアはてブ
データソース: NVD (NIST), OSV (Google), GitHub Advisory Database, JVN iPedia (IPA/JPCERT/CC)
AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。