つみかさね

CVE-2026-49489

High(8.5)

CVE-2026-49489 — OpenCATS DataGrid SQLインジェクション(sortDirection)

公開日: 2026-06-01データソース: NVD, GitHub Advisory

影響を受けるソフトウェア

製品ベンダー影響バージョン
OpenCATSopencats< 0.9.7.4以降の修正版

対応ガイド

high|推奨セキュリティ修正影響: 限定的

推奨アクション

  1. 1OpenCATS 0.9.7.4 以前を使用しているか確認する
  2. 2最新版へのアップデートを実施する
  3. 3外部公開している場合は認証ログを確認し不審なアクセスがないか調査する

影響対象

OpenCATS 採用管理システム利用者

補足

  • -認証済みユーザーが必要なため内部脅威または不正アクセスとの組み合わせに注意
CVEOpenCATSSQLインジェクション採用管理システム

概要

OpenCATS 0.9.7.4 以前において、DataGrid コンポーネントの sortDirection パラメータに対するSQLインジェクション脆弱性が存在します。ajax/getDataGridPager.php にてパラメータを適切にサニタイズしないため、認証済みユーザーがタイムベースのブラインドインジェクションを用いてデータベースの内容を抽出できます。Exploit-DB(#52579)にエクスプロイトが公開されています。

CVSSベクトル

指標
スコア8.5 (High)
脆弱性タイプSQLインジェクション (CWE-89)
攻撃経路ネットワーク (Network)
必要な権限認証済みユーザー
エクスプロイトExploit-DB #52579 に公開済み

影響を受けるソフトウェア

製品ベンダーバージョン
OpenCATSopencats0.9.7.4 以前

修正バージョンと回避策

  1. OpenCATS の最新版へのアップデートを確認する
  2. 外部公開している場合は認証を強化し、不審なアクセスがないか確認する
  3. データベースのアクセス権限を最小化する

関連CVE

  • CVE-2026-49490(DataGrid フィルター処理 SQLインジェクション、CVSS 8.1)

関連リンク

データソース: NVD (NIST), GitHub Advisory Database AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。

関連する脆弱性

CVE-2026-49490OpenCATS SQLインジェクション(フィルター処理)CVSS 8.1

参考リンク

NVD:https://nvd.nist.gov/vuln/detail/CVE-2026-49489
GitHub Advisory:https://github.com/opencats/OpenCATS/security/advisories/GHSA-8mc8-5gw6-c7w4
Xでシェアはてブ
データソース: NVD (NIST), OSV (Google), GitHub Advisory Database, JVN iPedia (IPA/JPCERT/CC)
AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。